CA/瀏覽器論壇(一個協調瀏覽器製造商和認證機構工作的平台)的成員投票決定減少 TLS 憑證的最大有效期。除非 CA/瀏覽器論壇隨後修改其決定,否則 TLS 憑證的最長有效期將從 398 天減少到 47 天。除了憑證有效期限之外,還決定大幅縮短物件驗證資料的重複使用期限:對於 SAN(主體備用名稱,當一個憑證涵蓋多個資源時,例如,它同時對多個網域有效),期限將從 398 天縮短至 10 天,對於非 SAN,期限將從 825 天縮短至 398 天。
此變更計畫逐步實施:自2026年3月15日起,即最長有效期限開始生效。 TLS憑證 證書有效期限將縮短至250天,自2027年3月15日起縮短至100天,自2029年3月起縮短至47天。在每個階段結束後,處理不符合上述標準的新憑證將導致瀏覽器顯示錯誤「ERR_CERT_VALIDITY_TOO_LONG」。在此之前,瀏覽器廠商成功地將證書有效期從8年逐步縮短至398天(13個月)。
29 名參與者投票贊成縮短 TLS 證書的有效期,6 名參與者棄權,無人投票反對。投下贊成票的參與者:Apple、Google、Microsoft、Mozilla、Amazon、Asseco Data Systems SA (Certum)、Buypass AS、Certigna (DHIMYOTIS)、Certinomis、DigiCert、Disig、D-TRUST、eMudhra、Fastly Trust、GlosoSign、GoDaddy、HARI、D-TRUST、AICAi、Fastly Trust、GloSign、GoDaddy、BICAi、XIST、XIST、XIST Foundation、Sectigo、SHECA、SSL.com、SwissSign、Telia Company、TrustAsia、VikingCloud、Visa。棄權的參與者:Entrust、IdenTrust、Japan Registry Services、SECOM Trust Systems、TWCA。
預計短期憑證的產生將允許在現有加密演算法中發現漏洞時更快地實施新的加密演算法,並且還將減少安全威脅。例如,如果由於駭客攻擊而導致憑證外洩而未被發現,短期憑證將阻止攻擊者長時間監視受害者的流量或使用憑證進行網路釣魚。更頻繁的驗證和更短的證書到期日期也將降低證書在其所含資訊到期後仍然有效的可能性,並降低分發錯誤頒發的證書的風險。
此外,短期證書將成為實施不受人為因素影響的自動化證書管理系統的激勵因素。同時,消除手動更新證書的做法也可能帶來負面後果。值得注意的是,一些只允許手動下載憑證的裝置可能會因每六週組織一次手動更新的困難而留下無效憑證。這項變更也可能對不提供自動取得憑證 API 的 CA 的業務產生負面影響。
來源: opennet.ru
