HTTPS 證書有效期被提議縮短至13個月
由Web瀏覽器製造商、軟件開發人員和安全證書頒發機構組成的行業團體CA/Browser Forum,正在考慮將HTTPS證書的有效期從27個月縮短到13個月。關於這樣的提案,已經不是第一次提出。在2017年時,CA/Browser Forum就否決了一項將證書有效期從39個月縮短至13個月的提案。
而早在一年前,證書的最長有效期已經從39 個月降至27 個月。
我們都知道,HTTPS 證書用於加密瀏覽器和站點之間的連接,幫助軟件確定沒有人篡改或竊聽這些連接。
如果減少TLS/SSL 證書有效的時間,網站必須更頻繁地更新其證書。理論上,這樣的證書有效期也有助於減少欺詐活動,如果是偷來的證書則很快會失效,被遺棄的網站也會更快地過期。這將迫使他們使用最新和最推薦的加密和散列證書,而不是使用不安全算法的老化證書。
不過,本週一時,DigiCert 的Timothy Hollebeek 卻反對將證書有效期縮短至13 個月,他認為,縮短證書壽命確實帶來的好處,但意味著要有更好的方法來確保證書是最新的和安全的,同時也存在一些麻煩,企業不得不每年續簽一次付費證書,並且增加其成本。
換句話說,減少有效期可能會促使企業免費使用Let’s Encrypt TLS/SSL,就不會向Digicert 這樣的機構支付費用。Let’s Encrypt 可以免費發放90 天的HTTPS 證書,使用提供的軟件客戶端來自動更新和部署證書,而由於幾乎所有瀏覽器和操作系統都支持Let’s Encrypt TLS/SSL 證書,導致該服務正給向HTTPS 證書收費的證書頒發機構帶來巨大壓力。
Hollebeek 稱:
將證書壽命迅速縮短到一年,甚至更少,對於許多依賴數字證書保護系統的公司來說,這將帶來巨大的成本。這些費用不會換來更加安全的改進,並且這項提案對從事非法活動或冒充合法公司的非法分子不會有任何影響。最主要的一點是,減少證書壽命的任何好處都是屬於理論性的,在短期內要付諸實際的話,產生的風險和成本也將難以預測。
該提案於今年早些時候在谷歌員工Ryan Sleevi 的一次會議上提出,目前仍處於草案階段,還沒有關於何時進行表決的消息。