再见SSL / TLS证书2年最大有效期
2020年2月,Apple在证书颁发机构浏览器论坛(CA / Browser Forum)面对面会议上向SSL / TLS证书行业宣布了突破性新闻。它已独立宣布,从2020年9月1日开始,其所有iPhone和Mac操作系统上的Safari浏览器将不再信任有效期超过398天的SSL / TLS叶子证书,相当于一年的证书加上证书的有效期。更新宽限期。换句话说,在该日期之后颁发的有效期超过一年的任何叶子证书将被Safari浏览器归类为不受信任的证书。其他类型的SSL / TLS证书(包括中间件和根)不受影响。
预期的发展
过去十年来,SSL / TLS证书的使用寿命一直在减少,这一消息不足为奇。证书的有效期呈减少趋势,最近一次减少为一年,发生在2020年9月1日之后。
就在10年前,SSL证书提供者所出售的证书长达8到10年。2011年,建立了证书颁发机构浏览器论坛(CA / Browser Forum),该论坛由所有证书颁发机构(CA)和大型浏览器制造商组成。他们确定8到10年的有效期太长,因此决定将其缩短为5年。2015年发生了同样的事情,有效期缩短为3年。在2018年,它被进一步缩减为2年。现在,苹果正在通过更改其Safari浏览器来争取1年证书。以下是您对最新开发的期望。
多年来,所有主要的浏览器制造商都在CA / B论坛上游说缩短有效期,尤其是苹果和谷歌。他们不断提高选票,供论坛成员投票以减少任期。去年8月,Google的Ryan Sleevi在CA / B论坛上投票,要求SSL / TLS证书的有效期最长为一年。但是,由于用户的关注和评论(大多是反对意见),多数主要证书颁发机构(CA)投票失败,因此该问题被搁置了。苹果尚未做出具体决定,而是在今年2月宣布了单方面决定为其Safari浏览器实施1年证书的决定。
有效期较短的证书有其优缺点
短期SSL / TLS叶证书的背后思想是,有效期越短,它的安全性就越高。这种方法背后的目的是浏览器制造商要确保Web开发人员始终使用最新的SSL证书加密标准和技术。SSL证书在较短的时间内到期,并且Web开发人员需要对其进行更频繁的更新,可以实现此目的。这样做将有助于浏览器制造商提高网络安全性,以确保用户的安全。
它还降低了黑客利用旧的或被忽略的SSL证书进行网络钓鱼或恶意软件攻击的风险。旧的证书可能使用了三年前强大的加密技术,但现在已被黑客破解。这就是网络安全行业发展的速度。浏览器制造商对此非常了解,因此坚决要求缩短SSL证书的有效期。人们还认为这种方法能够有效地减少黑客用来探索如何利用证书的时间范围。这也使得将来使用Web开发人员仍在使用采用退休加密的旧证书的可能性降低,并最终被利用。通过这种方法,将定期生成带有新密钥的SSL证书,以阻止黑客攻击,结果,
但是,随着SSL证书有效期的缩短,给管理它们的Web开发人员或网站所有者带来了更多的工作量。将要求他们增加证书替换任务的频率,如果要管理多达数百甚至一千个证书,则可能要花费大量时间。确实存在麻烦因素,这就是为什么许多用户反对此实现的原因。这增加了它们的成本和开销,并且由于工作量增加和混乱,还易于出现更多的人为错误和错误。
这种变化将如何影响网站所有者和客户?
Safari是第二大领先的Web浏览器,占有14.4%的市场份额,如下图所示:
全世界有大约45亿互联网用户,其中14.4%相当于大约6.5亿使用Safari浏览器的用户。网站所有者肯定要确保Safari信任其网站,否则当Safari上显示隐私错误时,就有失去其宝贵流量的风险。预计网站所有者将越来越专注于每年更新其SSL证书,以确保出色的客户体验。网站管理员将有望简化其现有证书管理实践,以适应Safari上的这一新实现。拥有大量SSL证书的大型组织将在寻找可靠,自动化的证书管理解决方案,以减少人工管理和错误。
这将如何更改证书经销商?
对于初学者,您仍然可以颁发直到2020年8月31日的两年期SSL证书,供客户使用,直到证书到期。在上述日期之后,就Safari浏览器而言,建议仅颁发一年的SSL证书。当然,您仍然可以颁发两年证书,但是您需要确保您拥有良好的证书管理解决方案来跟踪以前颁发的所有两年证书,并在一年后续订它们以继续受到Safari浏览器的信任。
准备证书颁发机构
话虽如此,您仍然可以放心,因为领先的CA早已预见到了这种发展并分别准备了解决方案。他们建立了新的平台,证书生命周期管理解决方案和订阅计划,以帮助SSL证书经销商适应这种变化。SSL证书的新选项和实施已准备就绪,可供Web管理员购买更长时间的覆盖范围。DigiCert准备了DigiCert®CertCentral TLS Manager,Sectigo开发了Sectigo Certificate Manager。
有了新的平台和解决方案,SSL证书经销商可以在为客户提供更长期限的SSL证书自动化,多年计划和折扣时获得更大的灵活性。自动化将有助于减轻管理客户的工作量。这是此方法的一些好处:
1.经销商可以通过提供多年价格折扣来帮助客户节省成本。
2.经销商可以帮助客户只购买一次,而不必担心。
相信通过引入新的自动化解决方案,这一变化对双方都是双赢的。
结论
总而言之,我们相信所有其他主流浏览器紧随苹果的脚步只是时间问题。一年的证书无疑是新的普通证书。一旦任何一家主要的浏览器制造商都这样做了,CA便非常清楚他们肯定需要将其证书更改为1年有效期,因为浏览器制造商相当于网络的网守,并且他们持有所有卡。CA只能效仿。
但是,我们并不担心,您也不应该担心!CA已做好充分准备,并已采用新平台和解决方案来帮助管理SSL证书。我们相信这将是一个相对平稳和直接的过渡,每个人都将享受到更高的网站安全性和增强的证书管理体验。
