Google提议缩短HTTPS证书有效期至13个月
google提议缩短https加密的ssl证书有效期,由现行27个月缩短至13个月。证书厂商对此不满,digicert代表timothy hollebeek认为,此举会增加客户证书更新的频率,徒增成本及运营负担,不过据分析,浏览器厂商握有绝对权力,可强制实行其决策。
据悉,google是在6月于希腊举行的ca/b forum的f2f会议上提案从2020年3月1日起,将ssl证书有效期由现在的825天缩减为397天,并将提交给大会表决。
ca/b forum是证书机构(ca)与浏览器厂商、软件公司参加的业界论坛,其证书政策section 6.3.2规定订阅证书的有效期。过去10年来,浏览器厂商已经将ssl证书有效期由最早的8年、砍成5年、39个月,去年3月再缩减到现行的27个月有效期。
证书厂商对此很不满,例如digicert代表timothy hollebeek认为,此举会增加客户证书更新的频率,徒增成本及运营负担。他指出,即使是为了安全理由,例如防止恶意或钓鱼网站,这种作法也不合理,因为钓鱼网站存在的实际十分短,大约1、2个星期而已,等网站过滤厂商将其加入黑名单,恶意网站早就转移阵地了。
不过安全研究人员scott helme表示,缩短ssl有效期的最终目的并不是恶意网站,而是削减那些不具保护力的证书。例如2015年发生过赛门铁克误发了上百个google.com的延伸验证(ev)证书,令恶意网站可能冒充google网域下的合法网站。他指出,有些不良证书即使被注销了还能使用,而缩减有效期则可解决此类问题。
目前市面上最大的证书机构sectigo(原名comodo)则强调自家证书可以自动更新。该公司认为,即使表决不通过,浏览器厂商也握有绝对权力,可片面强制实行其决策。例如google、微软、苹果及mozilla近年就是以不安全为由,决定取消其浏览器对sha-1证书的支持。
上一篇: 画面太美不敢想!