欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  新闻

Google提议缩短HTTPS证书有效期至13个月

程序员文章站 2022-04-02 18:29:09
2019年8月10日 | 作者: 月光 | 分类: 业界动态 | 评论: 0 | 浏览: 51 | 阅读全文......

  google提议缩短https加密的ssl证书有效期,由现行27个月缩短至13个月。证书厂商对此不满,digicert代表timothy hollebeek认为,此举会增加客户证书更新的频率,徒增成本及运营负担,不过据分析,浏览器厂商握有绝对权力,可强制实行其决策。

  据悉,google是在6月于希腊举行的ca/b forum的f2f会议上提案从2020年3月1日起,将ssl证书有效期由现在的825天缩减为397天,并将提交给大会表决。

  ca/b forum是证书机构(ca)与浏览器厂商、软件公司参加的业界论坛,其证书政策section 6.3.2规定订阅证书的有效期。过去10年来,浏览器厂商已经将ssl证书有效期由最早的8年、砍成5年、39个月,去年3月再缩减到现行的27个月有效期。

  证书厂商对此很不满,例如digicert代表timothy hollebeek认为,此举会增加客户证书更新的频率,徒增成本及运营负担。他指出,即使是为了安全理由,例如防止恶意或钓鱼网站,这种作法也不合理,因为钓鱼网站存在的实际十分短,大约1、2个星期而已,等网站过滤厂商将其加入黑名单,恶意网站早就转移阵地了。

  不过安全研究人员scott helme表示,缩短ssl有效期的最终目的并不是恶意网站,而是削减那些不具保护力的证书。例如2015年发生过赛门铁克误发了上百个google.com的延伸验证(ev)证书,令恶意网站可能冒充google网域下的合法网站。他指出,有些不良证书即使被注销了还能使用,而缩减有效期则可解决此类问题。

  目前市面上最大的证书机构sectigo(原名comodo)则强调自家证书可以自动更新。该公司认为,即使表决不通过,浏览器厂商也握有绝对权力,可片面强制实行其决策。例如google、微软、苹果及mozilla近年就是以不安全为由,决定取消其浏览器对sha-1证书的支持。