为全球数以亿计网站提供加密证书的非营利组织Let’sEncrypt日前宣布重大消息:从2025年4月开始该平台将为IT管理员们提供6天的短期证书和IP地址证书。目前能够提供IP地址证书的CA机构非常少并且多数都是要付费的,此次Let’sEncrypt提供IP地址证书将破除现有CA的市场垄断地位,为IT管理员提供新的免费选项。
至于6天的短期数字证书则是基于安全性考虑的,苹果曾提议将整个TLS数字证书有效期从当前的最长384天缩短到45天,从而提高安全性。
为什么短期证书能够提高安全性:
数字证书本质上就是经过验证的哈希值,数字证书和对应的私钥(同样是哈希值)都存在泄露风险,因此CA/浏览器论坛(负责制定数字证书这类规定的行业论坛)要求提供证书吊销功能。
当我们发现数字证书私钥泄露时可以找到原申请的CA机构进行吊销操作,吊销流程完成后这份数字证书就会在联网环境中失效无法再继续验证。
但证书吊销的效果并不好,其中很大一部分原因是IT管理员可能并不清楚私钥已经泄露,这导致不安全的数字证书继续被使用直到过期后才彻底失效。
因此Let’sEncrypt认为证书有效期越长其安全性也就越低,推出的6天短期数字证书可以解决这个问题,因为这类证书很快就会过期,IT管理员不知道私钥泄露也没关系,过期后证书就作废。
什么时候开始提供短期证书:
Let’sEncrypt计划从2025年4月开始为小部分用户提供6天短期证书,这类证书依赖于自动申请和续期流程,毕竟指望每6天就手动更换证书是不现实的,IT管理员必须完善自动化流程后实现证书的自动同步。
但短期证书也存在一些缺陷:
Let’sEncrypt没有计划为短期证书提供OCSP和CRLURL查询功能,为什么呢?如前文所说Let’sEncrypt认为证书吊销在历史上是不可靠的,既然如此那这种短期证书就没必要再提供OCSP查询了。
目前还不清楚这种没有OCSP和CRLURL的证书是否能在所有浏览器和旧版本上兼容,这个Let’sEncrypt没有提,但蓝点网怀疑可能会在某些场景里出现兼容性问题导致无法验证。
最后是关于IP地址证书:
IP地址证书短时间内不会直接提供,预计要到短期证书普遍可用也就是在2025年年底时才提供IP地址证书,IP地址证书仅支持http-01和tls-alpn-01验证,因为DNS不参与IP地址验证所以无法通过DNSTXT记录的方式进行验证。
另外鉴于DNS系统也不支持直接对IP地址进行CAA记录验证,所以当申请IP地址证书时不会校验CAA记录(CAA记录用于指定某个域名仅限于某个CA颁发证书,其他CA不得为其颁发证书,这可以降低某些CA恶意颁发证书问题)。
相关文章
![[AI评论]学校食堂员工脚踩食材:对公共安全和道德底线的严重挑战](https://www.pltyw.com/d/file/2023-04-13/63c2466b6375b2e0481e52b1b5c81d11.jpg)
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】