20
再见,旧证书:SSLTLS证书寿命缩短至398天
source link: https://www.freebuf.com/news/248507.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
9月1日开始,新的TLS证书的寿命将从之前的27个月(825天)变为398天。
为了提高安全性,苹果、谷歌和Mozilla将拒绝在各自的浏览器中使用创建日期已超过13个月(或398天)的公开数字证书。
过去十年,SSL/TLS证书的使用寿命显著缩短。2011年,由认证机构和浏览器软件供应商组成的认证机构/浏览器论坛CA/B将证书有效期从最早的8-10年缩短至5年。
2015年,又由5年缩短至3年,到2018年则缩短为2年。
而在2019年,虽然 投票否决 了将证书有效期减少至一年的提议,但该措施却依然得到了苹果、谷歌、微软、Mozilla和Opera等浏览器制造商的压倒性支持。而在今年2月份,苹果首次宣布:拒绝在9月1日或之后发布的有效期超过398天的新TLS证书。从那时起, Google 和 Mozilla 都纷纷效仿。
如果有效期超过398天,会如何? TLS服务器连接将失败 , 网站无法加载。
对于一些企业来说,并不想每年更换证书,但基于安全性,却不得不这么做。
一方面,短期更换证书能确保Web开发人员始终使用最新的SSL证书加密标准和技术,另外,还能降低黑客利用旧的或被忽略的SSL证书进行网络钓鱼或恶意软件攻击的风险。
反之,有效期的缩短给管理证书的Web开发人员或网站所有者带来了更多的工作量,将要求他们增加证书替换的频率,这也意味着成本的提高,而企业如果忽略证书的有效期,导致证书过期,那么频繁的过期证书警告可能导致Web访问者更容易绕过安全警告,还可能造成服务中断从而给企业带来财产损失。
因此,如何管理大规模寿命短暂的证书,将是企业需要思考的问题。
参考来源:
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK