HTTPS 证书有效期被提议缩短至 13 个月

afterer
 afterer
发布于 2019年08月14日
收藏 9

由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体 CA/Browser Forum,正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。

关于这样的提案,已经不是第一次提出。在 2017 年时,CA/Browser Forum 就否决了一项将证书有效期从 39 个月缩短至 13 个月的提案。

而早在一年前,证书的最长有效期已经从 39 个月降至 27 个月。

我们都知道,HTTPS 证书用于加密浏览器和站点之间的连接,帮助软件确定没有人篡改或窃听这些连接。

如果减少 TLS/SSL 证书有效的时间,网站必须更频繁地更新其证书。理论上,这样的证书有效期也有助于减少欺诈活动,如果是偷来的证书则很快会失效,被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书,而不是使用不安全算法的老化证书。

不过,本周一时,DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月,他认为,缩短证书寿命确实带来的好处,但意味着要有更好的方法来确保证书是最新的和安全的,同时也存在一些麻烦,企业不得不每年续签一次付费证书,并且增加其成本。

换句话说,减少有效期可能会促使企业免费使用 Let's Encrypt TLS/SSL,就不会向 Digicert 这样的机构支付费用。Let's Encrypt 可以免费发放 90 天的 HTTPS 证书,使用提供的软件客户端来自动更新和部署证书,而由于几乎所有浏览器和操作系统都支持 Let's Encrypt TLS/SSL 证书,导致该服务正给向 HTTPS 证书收费的证书颁发机构带来巨大压力。

Hollebeek 称:

将证书寿命迅速缩短到一年,甚至更少,对于许多依赖数字证书保护系统的公司来说,这将带来巨大的成本。这些费用不会换来更加安全的改进,并且这项提案对从事非法活动或冒充合法公司的非法分子不会有任何影响。最主要的一点是,减少证书寿命的任何好处都是属于理论性的,在短期内要付诸实际的话,产生的风险和成本也将难以预测。

该提案于今年早些时候在谷歌员工 Ryan Sleevi 的一次会议上提出,目前仍处于草案阶段,还没有关于何时进行表决的消息。

来源:Theregister

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:HTTPS 证书有效期被提议缩短至 13 个月
加载中

精彩评论

开源中国最大五毛
开源中国最大五毛
嘴上说安全,心中都是赚钱
s
salmon514
干脆有效期3天,这帮安全的人吃饱撑的,3年有效期要的,换证书可以不是nginx -s reload这么简单
a
amwukddx2019
安全是相对的,哪怕是只有一个小时的有效时间,对于高手来说已经足够长了,考虑到这种设定会将自己客户推给他人的可能,这种把牙膏口变大而扩大销量的做法损害了客户的利益的

最新评论(23

苦寒竹
苦寒竹
以前3年的时候,又安逸又便宜(买3年比一年买一次便宜多了),现在只能2年。如果有效期更短,我也换成Let's Encrypt 了。
迷之左右
迷之左右
国内阿里cdn免费,国外cf免费,要什么自行车
a
amwukddx2019
安全是相对的,哪怕是只有一个小时的有效时间,对于高手来说已经足够长了,考虑到这种设定会将自己客户推给他人的可能,这种把牙膏口变大而扩大销量的做法损害了客户的利益的
肖滔
肖滔
一周一换,我有说什么吗
开源中国首席罗纳尔多
开源中国首席罗纳尔多
您好,请问有免费的HTTPS CA证书申请吗?
秦客丶云舒
秦客丶云舒
Let's Encrypt TLS/SSL
d
dage1438
openssl 自己生成
BruceWan
BruceWan
一句脚本的问题
O
OSC_CHUuPU
尤其是k8s中的证书更他妈脑残
开源中国最大五毛
开源中国最大五毛
嘴上说安全,心中都是赚钱
s
salmon514
哥玩nginx几十年了,你们这么初级技术觉得换证书nginx -s reload这么简单?
s
salmon514
干脆有效期3天,这帮安全的人吃饱撑的,3年有效期要的,换证书可以不是nginx -s reload这么简单
返回顶部
顶部