因为被盗的证书将很快变得无用,被放弃的网站会看到他们的证书更快到期。
CA /浏览器论坛 - Web浏览器制造商,软件开发商和安全证书颁发者的行业机构 - 正在考虑将HTTPS证书的生命周期从27个月缩短到13个月。
该计划于今年早些时候由Googler Ryan Sleevi 在会议上提出,并且仍处于起草阶段,距离证书的终身最高限额从39个月降至27个月仅一年。在进行投票时还没有任何消息。
HTTPS证书本质上用于加密浏览器和站点之间的连接,并帮助软件确定没有人篡改或窃听这些连接。
通过减少TLS / SSL证书有效的时间,网站必须更频繁地续订其证书。希望这将迫使他们使用具有最新和最好的推荐加密和散列的证书,而不是挂在使用不安全算法的老化证书上。从理论上讲,分类生命周期也可以帮助减少欺诈活动,因为被盗的证书将很快变得无用,被放弃的网站会看到他们的证书更快到期。
这不是第一次这样的计划浮出水面。早在2017年,CA /浏览器论坛就提出了一项旨在将证书寿命从39个月缩短到13个月的提案。
在所有这些的背景下,让我们的加密继续享受迅速崛起:它发布免费的90天HTTPS证书,可以使用提供的软件客户端自动续订和部署。几乎所有浏览器和操作系统都支持加密TLS / SSL证书,并且该服务对向人们收取HTTPS证书的证书颁发机构施加了巨大压力。
换句话说,削减生命周期可能会促使组织免费使用Let's Encrypt,而不是鼓励他们更频繁地向Digicert等服装支付费用。Digicert及其同类产品通常需要数百美元才能获得证书:强迫客户更频繁地出货,这可能比赚钱的人更多。
“快速将证书寿命缩短到一年甚至更短,对于许多依靠数字证书来保护其系统的公司而言,成本很高,”Hollebeek说。“这些成本并未被任何重大的安全改进所抵消,这些变化对从事非法活动或冒充合法公司的不良行为者没有影响。”
Hollebeek还质疑短寿命的安全性好处,这表明有更好的方法可以确保证书的最新和安全。
“我们相信,通过为公司提供更多时间来继续使用自动化,测试他们的系统并为这些变化做好准备,可以更好地实现提高证书安全性的目标,”Hollebeek写道。“主要观点是,减少证书有效期的任何好处都是理论上的,而进行变更的风险和成本,特别是在短时间内,是真实的。”
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
