网络第5域

苹果提交表决提案 建议将SSL/TLS证书有效期从398天缩短到45天

字号+作者: 来源:蓝点网 2024-10-16 15:04 评论(创建话题) 收藏成功收藏本文

SSL/TLS数字证书是现代互联网的安全基石,目前超过95%的网站都已经采用HTTPS加密连接以确保数据在服务器与浏览器传输过程中不会被窃取。而数字证书以前'...

SSL/TLS数字证书是现代互联网的安全基石,目前超过95%的网站都已经采用HTTPS加密连接以确保数据在服务器与浏览器传输过程中不会被窃取。而数字证书以前有效期最长可以达到8年,但数字证书也存在潜在的安全风险,那就是证书对应的私钥泄露,这仍然可以用来发起中间人劫持。BCI品论天涯网

BCI品论天涯网

基于以上原因目前CA/浏览器论坛(负责制定SSL/TLS证书相关标准的行业组织)已经将证书有效期从8年缩短到目前最长的398天,也就是每398天网站或服务必须更新数字证书才能继续使用。BCI品论天涯网

然而苹果和谷歌都希望继续缩短数字证书有效期以提高安全性,其中谷歌希望将数字证书有效期缩短到90天,而苹果更激进,现在苹果竟然想将数字证书有效期缩短到45天。BCI品论天涯网

苹果的这项提案为投票表决草案,很可能会在未来几个月内交由CA/浏览器论坛成员进行投票,如果获得大多数成员赞成,则未来苹果Safari浏览器将仅支持有效期在45天内的数字证书。BCI品论天涯网

当然其他浏览器例如谷歌Chrome可能也会及时跟进,到时候SSL/TLS证书将逐渐向45天过渡,这确实可以提高安全性但也会给复杂的企业系统带来麻烦。BCI品论天涯网

为什么缩短到45天可能会引起麻烦:BCI品论天涯网

尽管SSL/TLS证书已经有很多便捷的工具可以实现自动化续签,但并非每个网站和企业都可以轻松部署自动化续签流程,尤其是有些复杂的系统切换数字证书本身就是个麻烦的事情。BCI品论天涯网

在Reddit论坛上有数百名系统管理员抱怨苹果的这项提议,因为缩短证书有效期后剩余的工作都要系统管理员承担,尤其是如果管理多个网站那么工作量将会显著提升(假如无法实现自动化续签)。BCI品论天涯网

目前还不清楚CA即数字证书颁发机构们的态度,苹果作为浏览器开发商实际上强势于CA机构的,哪怕苹果一意孤行那CA机构也必须同意否则证书将无法兼容Safari浏览器。BCI品论天涯网

苹果提出的建议时间表如下:BCI品论天涯网

到2025年9月后:将所有新签发的SSL/TLS数字证书有效期缩短至200天BCI品论天涯网

到2026年9月后:将所有新签发的SSL/TLS数字证书有效期缩短至100天BCI品论天涯网

到2027年4月后:将所有新签发的SSL/TLS数字证书有效期缩短至45天BCI品论天涯网

到2027年9月后:将域控验证技术(DCV)的有效期缩短至10天BCI品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]