Chromium 项目的开发人员 ,它将 TLS 证书的最长生命周期设置为 398 天(13 个月)。
该条件适用于 1 年 2020 月 XNUMX 日之后颁发的所有公共服务器证书。 如果证书与此规则不匹配,浏览器将认为其无效而拒绝它,并特别响应错误 ERR_CERT_VALIDITY_TOO_LONG.
对于 1 年 2020 月 XNUMX 日之前收到的证书,将维持信任并 (2,2 年),就像今天一样。
此前,Firefox 和 Safari 浏览器的开发者对证书的最长寿命进行了限制。 也改变一下 .
这意味着使用截止点之后颁发的长寿命 SSL/TLS 证书的网站将在浏览器中引发隐私错误。
Apple 在 CA/浏览器论坛会议上率先宣布了新政策 。 在引入新规则时,苹果承诺将其应用于所有 iOS 和 macOS 设备。 这将给网站管理员和开发人员带来压力,以确保他们的认证符合要求。
苹果、谷歌和其他 CA/浏览器成员已经就缩短证书的生命周期进行了数月的讨论。 这项政策有其优点和缺点。
此举的目标是通过确保开发人员使用符合最新加密标准的证书来提高网站安全性,并减少可能被窃取并在网络钓鱼和恶意偷渡式攻击中重复使用的旧的、被遗忘的证书的数量。 如果攻击者能够破解 SSL/TLS 标准中的加密技术,那么短期证书将确保人们在大约一年内转向更安全的证书。
缩短证书的有效期有一些缺点。 人们注意到,通过增加证书更换的频率,苹果和其他公司也让必须管理证书和合规性的网站所有者和公司的生活变得更加困难。
另一方面,Let's Encrypt 和其他证书颁发机构鼓励网站管理员实施更新证书的自动化程序。 随着证书更换频率的增加,这减少了人力开销和错误风险。
如您所知,Let's Encrypt 颁发免费的 HTTPS 证书,该证书将在 90 天后过期,并提供自动续订的工具。 因此,随着浏览器设置最大有效性限制,这些证书现在可以更好地融入整体基础设施。
此更改已由 CA/浏览器论坛的成员进行投票,但决定 .
结果
证书颁发者投票
赞成(11票):Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo(以前称为 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反对 (20):Camerfirma、Certum (Asseco)、CFCA、中华电信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firmaprofesional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCA、TrustCor、SecureTrust(前身)信任波)
弃权 (2):哈里卡、土耳其信托
证书消费者投票
对于 (7):苹果、思科、谷歌、微软、Mozilla、Opera、360
Против:0
弃权:0
现在,浏览器在未经证书颁发机构同意的情况下强制执行此策略。
来源: habr.com