由 dawei 拥有Chrome浏览器的Google现在提案要缩短HTTPS加密的SSL证书有效期,由现行的27个月缩短至13个月。
D-Link DIR-867
进入购买
据悉,Google是在6月于希腊举行的CA/B Forum的F2F会议上提案从2020年3月1日起,将SSL证书有效期由现在的825天缩减为397天,并将提交给大会表决。
CA/B Forum是证书机构(CA)与浏览器厂商、软件公司参加的业界论坛,其证书政策Section 6.3.2规定订阅证书的有效期。过去10年来,浏览器厂商已经将SSL证书有效期由最早的8年、砍成5年、39个月,去年3月再缩减到现行的27个月有效期。
证书厂商对此很不满,例如DigiCert代表Timothy Hollebeek认为,此举会增加客户证书更新的频率,徒增成本及运营负担。他指出,即使是为了安全理由,例如防止恶意或钓鱼网站,这种作法也不合理,因为钓鱼网站存在的实际十分短,大约1、2个星期而已,等网站过滤厂商将其加入黑名单,恶意网站早就转移阵地了。
不过安全研究人员Scott Helme表示,缩短SSL有效期的最终目的并不是恶意网站,而是削减那些不具保护力的证书。例如2015年发生过赛门铁克误发了上百个Google.com的延伸验证(EV)证书,令恶意网站可能冒充Google网域下的合法网站。他指出,有些不良证书即使被注销了还能使用,而缩减有效期则可解决此类问题。
目前市面上最大的证书机构Sectigo(原名Comodo)则强调自家证书可以自动更新。该公司认为,即使表决不通过,浏览器厂商也握有绝对权力,可片面强制实行其决策。例如Google、微软、苹果及Mozilla近年就是以不安全为由,决定取消其浏览器对SHA-1证书的支持。
- 调查区域:企业小调查(点击预览可查看效果)