行業(yè)動(dòng)態(tài)

HTTPS 證書有效期被提議縮短至13個(gè)月

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-08-14    瀏覽次數(shù):
 

信息來源:cnBeta

由 Web 瀏覽器制造商、軟件開發(fā)人員和安全證書頒發(fā)機(jī)構(gòu)組成的行業(yè)團(tuán)體 CA/Browser Forum,正在考慮將 HTTPS 證書的有效期從 27 個(gè)月縮短到 13 個(gè)月。關(guān)于這樣的提案,已經(jīng)不是第一次提出。在 2017 年時(shí),CA/Browser Forum 就否決了一項(xiàng)將證書有效期從 39 個(gè)月縮短至 13 個(gè)月的提案。

而早在一年前,證書的最長有效期已經(jīng)從 39 個(gè)月降至 27 個(gè)月。

我們都知道,HTTPS 證書用于加密瀏覽器和站點(diǎn)之間的連接,幫助軟件確定沒有人篡改或竊聽這些連接。

如果減少 TLS/SSL 證書有效的時(shí)間,網(wǎng)站必須更頻繁地更新其證書。理論上,這樣的證書有效期也有助于減少欺詐活動(dòng),如果是偷來的證書則很快會失效,被遺棄的網(wǎng)站也會更快地過期。這將迫使他們使用最新和最推薦的加密和散列證書,而不是使用不安全算法的老化證書。

不過,本周一時(shí),DigiCert 的 Timothy Hollebeek 卻反對將證書有效期縮短至 13 個(gè)月,他認(rèn)為,縮短證書壽命確實(shí)帶來的好處,但意味著要有更好的方法來確保證書是最新的和安全的,同時(shí)也存在一些麻煩,企業(yè)不得不每年續(xù)簽一次付費(fèi)證書,并且增加其成本。

換句話說,減少有效期可能會促使企業(yè)免費(fèi)使用 Let's Encrypt TLS/SSL,就不會向 Digicert 這樣的機(jī)構(gòu)支付費(fèi)用。Let's Encrypt 可以免費(fèi)發(fā)放 90 天的 HTTPS 證書,使用提供的軟件客戶端來自動(dòng)更新和部署證書,而由于幾乎所有瀏覽器和操作系統(tǒng)都支持 Let's Encrypt TLS/SSL 證書,導(dǎo)致該服務(wù)正給向 HTTPS 證書收費(fèi)的證書頒發(fā)機(jī)構(gòu)帶來巨大壓力。

Hollebeek 稱:

將證書壽命迅速縮短到一年,甚至更少,對于許多依賴數(shù)字證書保護(hù)系統(tǒng)的公司來說,這將帶來巨大的成本。這些費(fèi)用不會換來更加安全的改進(jìn),并且這項(xiàng)提案對從事非法活動(dòng)或冒充合法公司的非法分子不會有任何影響。最主要的一點(diǎn)是,減少證書壽命的任何好處都是屬于理論性的,在短期內(nèi)要付諸實(shí)際的話,產(chǎn)生的風(fēng)險(xiǎn)和成本也將難以預(yù)測。

該提案于今年早些時(shí)候在谷歌員工 Ryan Sleevi 的一次會議上提出,目前仍處于草案階段,還沒有關(guān)于何時(shí)進(jìn)行表決的消息。

 
 

上一篇:2019年08月13日 聚銘安全速遞

下一篇:佳能單反相機(jī)被曝存在漏洞,可遠(yuǎn)程安裝勒索軟件