從9月1日開始，新的TLS證書的有效期將從之前的27個月（825天）改為398天（一年多一點）。

在過去十年中，SSL / TLS證書的壽命已大大縮短。在2011年，由證書頒發(fā)機構(gòu)和瀏覽器軟件供應(yīng)商組成的證書頒發(fā)機構(gòu)/瀏覽器論壇（CA / Browser Forum）規(guī)定了五年的限制，使證書的有效期從8-10年縮至更短。隨后在2015年將其縮短為三年，到2018年又縮短為兩年。

盡管去年9月的一次投票中否決了將證書有效期減少到一年的提議，但該措施得到了蘋果，谷歌，微軟，Mozilla和Opera等瀏覽器制造商的壓倒性支持。

然后在今年2月，Apple在 CA / Browser Forum 面對面會議上向SSL / TLS證書行業(yè)宣布了突破性新聞。它已獨立宣布，從2020年9月1日開始，其所有iPhone和Mac操作系統(tǒng)上的Safari瀏覽器將不再信任有效期超過398天的SSL / TLS葉子證書。換句話說，在該日期之后頒發(fā)的有效期超過一年的任何葉子證書都將被Safari瀏覽器歸類為不受信任的證書。其他類型的SSL / TLS證書（包括中間件和根）不受影響。

蘋果在支持文件中解釋說：“違反這些新要求的TLS服務(wù)器連接將失敗。” “這可能會導(dǎo)致網(wǎng)絡(luò)和應(yīng)用失敗，并阻止網(wǎng)站加載?！睂τ贕oogle而言，它打算以錯誤“ERR_CERT_VALIDITY_TOO_LONG”拒絕違反有效性條款的證書，并將其視為錯誤簽發(fā)。此外，某些SSL證書提供商（例如Digicert和Sectigo）已經(jīng)停止頒發(fā)有效期為兩年的證書。

為避免意外后果，Apple建議頒發(fā)證書的最長有效期為397天。

為什么縮短證書壽命？

縮短證書的有效期提高了網(wǎng)站的安全性，開發(fā)人員使用具有最新加密標準的證書來提高網(wǎng)站的安全性，并減少可能被盜用并重新用于網(wǎng)絡(luò)釣魚和惡意驅(qū)動程序攻擊、被忽略的證書的數(shù)量，短期證書將確保人們在大約一年內(nèi)遷移到更安全的證書。此外，由于性能限制，Chrome和Firefox的移動版本無法主動檢查證書狀態(tài)，從而導(dǎo)致加載已吊銷證書的網(wǎng)站而不會向用戶發(fā)出任何警告。

某首席安全官克里斯·希克曼（Chris Hickman）表示：“過期的證書仍然是一個巨大的問題，每年因停機而給公司造成數(shù)百萬美元的損失”“最重要的是，更頻繁的過期證書警告可能會導(dǎo)致Web訪問者更容易繞過安全警告和錯誤消息。但是，證書用戶經(jīng)常忘記何時更換證書，從而由于意外過期而導(dǎo)致服務(wù)中斷，使他們?nèi)狈ψ銐虻哪芰泶笠?guī)模管理這些新的較短壽命的證書。”

參考資料

從今天開始，SSL / TLS證書的最大使用壽命為398天：

https://thehackernews.com/2020/09/ssl-tls-certificate-validity-398.html

再見SSL / TLS證書2年最大有效期：

https://www.febhost.com/news/detail/628

圖片來源：由skylarvision在Pixabay上發(fā)布 

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費試用

本文來源:thehackernews.com

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責人：張明