提议草案
10月 9 日,在秋季 CA/浏览器论坛面对面会议的第二天,苹果公司透露,它在GitHub 发布了一份征求意见的投票草案,提议从现在到 2027 年逐步将公共 SSL/TLS 证书的最大期限由目前的398天缩短至 45 天。该草案还提议逐步缩短 DCV(域名控制权验证)的重用期限,非SAN验证重用总体从825天减少到366天,SAN验证重用总体从398天减少到10天。这些变更反映了对数据验证和重用政策的调整,旨在提高数据的安全性和时效性。通过缩短数据重用的期限,可以减少因数据过时而导致的风险,并促进更频繁的数据更新和验证。
此前,谷歌曾在其“共同前进”路线图中宣布,将在未来政策更新或 CA/B 论坛投票提案中,将公共 SSL/TLS 证书的最长有效期从 398 天缩短至 90天。此次苹果的提议,是继谷歌之后又一浏览器公司发出的信息。目前,苹果和谷歌提议缩短证书有效期,无论是缩短至90天或是45天,都是仍在讨论阶段的提案,但也为行业趋势发展释放出强烈信号。
为何浏览器巨头都想要缩短SSL证书有效期?
强化安全保障
降低密钥泄露的危害:长期使用同一SSL证书,一旦其私钥不慎泄露,黑客便能利用这一私钥在证书有效期内持续对数据进行非法获取或篡改。而缩短证书的有效期限,则能显著降低这一风险,因为即便密钥被破解,黑客所能利用的时间窗口也会被大幅压缩。
确保采用最新加密技术:证书的频繁更新能够推动网站紧跟加密技术的最新发展,及时采纳最新的加密标准和技术,从而降低因使用老旧技术而引发的安全风险。随着技术的不断进步,新的加密标准和技术层出不穷,而证书的更新则是确保网站始终采用最先进加密手段的关键。
高效应对安全漏洞
促进漏洞的及时发现与修复:较短的证书有效期能够促使网站管理员更加频繁地检查并更新证书,进而更容易发现并修补潜在的安全漏洞。
缩小攻击范围:一旦加密技术被发现存在漏洞,较短的证书有效期能够迅速推动更新进程,从而有效减少黑客利用这些漏洞进行攻击的可能性。
符合行业规定与法律要求
满足合规性标准:部分行业标准和法规要求网站必须定期更新SSL证书,以确保数据的安全性和用户隐私的保护。缩短证书的有效期有助于网站更好地遵循这些规定,避免可能面临的法律风险。
提升用户信任度:通过遵循行业标准和规范,以及频繁更新证书来展现对安全的高度重视,能够进一步增强用户对网站的信任感。这不仅有助于提升网站的品牌形象,还能为用户带来更加安全、可靠的在线体验。
苹果提议将SSL/TLS证书的有效期从398天缩短至45天,旨在提升网络安全性。然而,这一提议也引发了一些行业内的担忧和反对声音。未来,随着这一提议的进一步讨论和投票,我们可能会看到SSL/TLS证书有效期政策的调整。
消息来源:Sectigo Blog, Github