再见SSL / TLS证书2年最大有效期
2020年2月,Apple在证书颁发机构浏览器论坛(CA / Browser Forum)面对面会议上向SSL / TLS证书行业宣布了突破性新闻。它已独立宣布,从2020年9月1日开始,其所有iPhone和Mac操作系统上的Safari浏览器将不再信任有效期超过398天的SSL / TLS叶子证书,相当于一年的证书加上证书的有效期。更新宽限期。换句话说,在该日期之后颁发的有效期超过一年的任何叶子证书都将被Safari浏览器归类为不受信任的证书。其他类型的SSL / TLS证书(包括中间件和根)不受影响。
预期的发展
过去十年来,SSL / TLS证书的使用寿命一直在减少,这一消息不足为奇。证书的有效期呈减少趋势,最近一次减少为一年,发生在2020年9月1日之后。
就在十多年前,SSL证书提供者所销售的证书长达8到10年。2011年,建立了证书颁发机构浏览器论坛(CA / Browser Forum),该论坛由所有证书颁发机构(CA)和大型浏览器制造商组成。他们确定8到10年的有效期太长,因此决定将其缩短为5年。2015年发生了同样的事情,有效期缩短为3年。在2018年,它进一步缩短为2年。现在,苹果正在通过更改其Safari浏览器来争取1年证书。以下是您对这一最新发展的期望。
2020年9月1日及之后签发的有效期超过398天的证书将被Safari浏览器视为不受信任的证书,这将触发Apple浏览器中的隐私错误消息。在该日期之前颁发的较早的证书不受影响,并且在其到期日之前仍然有效。
多年来,所有主要的浏览器制造商都游说缩短在CA / B论坛上的有效期,尤其是苹果和谷歌。他们不断地投票给论坛成员投票,以减少任期。去年8月,Google的Ryan Sleevi在CA / B论坛上投票,要求SSL / TLS证书的有效期最长为一年。但是,由于用户的关注和评论(大多是反对的),大多数主要证书颁发机构(CA)都投票否决了该问题,因此该问题被搁置了。苹果尚未做出具体决定,而是在今年2月宣布了单方面决定为其Safari浏览器实施1年证书的决定。
有效期较短的证书有其优缺点
短期SSL / TLS叶子证书的背后思想是,有效期越短,它越安全。这种方法背后的目的是浏览器制造商要确保Web开发人员始终使用最新的SSL证书加密标准和技术。SSL证书在更短的时间内过期,并且Web开发人员需要对其进行更频繁的更新,可以实现此目的。这样做将有助于浏览器制造商提高网络安全性,以确保用户的安全。
它还降低了黑客利用旧的或被忽略的SSL证书进行网络钓鱼或恶意软件攻击的风险。旧证书可能使用了一种在三年前功能强大的加密技术,但现在已被黑客破解。这就是网络安全行业发展的速度。浏览器制造商对此非常了解,因此坚决要求缩短SSL证书的有效期。人们还认为,这种方法能够有效地减少黑客用来探索如何利用证书的时间范围。这也使得将来使用Web开发人员仍在使用采用退休加密的旧证书的可能性降低,并最终被利用。通过这种方法,将定期生成带有新密钥的SSL证书,以阻止黑客攻击,因此,
但是,随着SSL证书有效期的缩短,给管理它们的Web开发人员或网站所有者带来了更多的工作量。将要求他们增加证书替换任务的频率,如果要管理多达数百个甚至一千个证书,则可能要花费大量时间。确实存在麻烦因素,这就是为什么许多用户反对此实现的原因。这增加了它们的成本和开销,并且由于工作量增加和混乱,还易于出现更多的人为错误和错误。
这种变化将如何影响网站所有者和客户?
Safari是第二大领先的Web浏览器,占有14.4%的市场份额,如下图所示:
全世界有大约45亿互联网用户,占14.4%,相当于大约6.5亿使用Safari浏览器的用户。网站所有者肯定要确保Safari信任其网站,否则当Safari上显示隐私错误时,就有失去其宝贵流量的风险。预计网站所有者将越来越专注于每年更新其SSL证书,以确保出色的客户体验。网站管理员应简化他们现有的证书管理实践,以适应Safari上的这一新实现。拥有大量SSL证书的大型组织将在寻找可靠,自动化的证书管理解决方案,以减少人工管理和错误。
这将如何更改证书经销商?
对于初学者而言,您仍然可以颁发直到2020年8月31日的两年期SSL证书,以供客户使用,直到证书到期为止。在上述日期之后,就Safari浏览器而言,建议仅颁发一年的SSL证书。当然,您仍然可以签发两年证书,但是您需要确保您拥有良好的证书管理解决方案,以跟踪先前签发的所有两年证书,并在一年后续签以继续受Safari浏览器信任。
准备证书颁发机构
话虽如此,您仍然可以放心,因为领先的CA早已预见了这一发展并分别准备了解决方案。他们建立了新平台,证书生命周期管理解决方案和订阅计划,以帮助SSL证书经销商适应这种变化。SSL证书的新选项和实施已准备就绪,可供Web管理员购买更长时间的覆盖范围。DigiCert准备了DigiCert®CertCentral TLS Manager,Sectigo开发了Sectigo Certificate Manager。
结论
总而言之,我们相信所有其他主要浏览器都紧随苹果的脚步只是时间问题。一年的证书肯定是新的普通证书。一旦任何一家主要的浏览器制造商都这样做了,CA便非常清楚他们肯定需要将其证书更改为1年有效期,因为浏览器制造商相当于网络的网守,并且他们持有所有卡。CA只能效仿。
但是,我们并不担心,您也不应该担心!CA已做好充分的准备,并已采用新平台和解决方案来帮助管理SSL证书。我们相信这将是一个相对平稳和直接的过渡,每个人都将享受到更高的网站安全性和增强的证书管理体验。
