蘋果Safari瀏覽器將全面封殺超過13個月的長效HTTPS證書
Safari將在今年晚些時候不再接受新的長效HTTPS證書,也就是自其創建之日起過13個月有效期的新證書。這意味著使用在截止時間點之後發出的長壽命SSL/TLS證書的網站將在蘋果系統的瀏覽器中引發隱私錯誤。
蘋果在證書頒發機構瀏覽器論壇(CA / Browser)會議上宣布了該政策。從2020年9月1日開始,任何有效期超過398天的新網站證書都不會受到Safari瀏覽器的信任,而是會被拒絕。而在截止日期之前頒發的較舊證書不受此規則的影響。
通過在Safari中實施該策略,蘋果將會通過擴展在所有iOS和macOS設備上實施該策略。這將對網站管理員和開發人員造成一定影響,他們需要調整接下來的證書運營策略,確保其證書滿足蘋果的要求,否則可能會影響超過10億台設備和計算機上的頁面訪問。
PKI和SSL管理公司Sectigo的高級研究員蒂姆·卡蘭(Tim Callan)參加了本週在斯洛伐克舉行的會議,他證實了這一消息:“本週,蘋果在第49屆CA/瀏覽器論壇宣布,他們的產品將否決在9月1日或之後發行的期限超過398天的證書的有效性。9月1日之前頒發的證書將具有與今天的證書相同的可接受期限,即825天,從而無需對這些證書採取任何措施。”
蘋果,谷歌和CA/Browser的其他成員已經考慮了縮短證書有效期的問題,該政策有其優點和缺點。
此舉的目的是通過確保開發人員使用具有最新加密標準的證書來提高網站的安全性,並減少可能被盜用並重新用於網絡釣魚和惡意驅動程序攻擊的舊的、被忽略的證書的數量,短期證書將確保人們在大約一年內遷移到更安全的證書。
縮短證書的使用壽命確實存在一些缺點,通過增加證書替換的頻率,蘋果和其他公司也使得使用加密證書的網站所有者和企業的管理週期變得更加複雜。不過,“公司可以依靠自動化來協助證書的部署,更新和生命週期管理,以減少人員開銷和隨著證書更換頻率的增加而出現錯誤的風險。”例如,Let’s Encrypt發行了免費的HTTPS證書,這些證書通常會在90天后過期,並提供了自動續訂的工具,如今它們已在整個Web上使用。