從9月1日開始，新的TLS證書的有效期將從之前的27個月（825天）改為398天（一年多一點）。

在過去十年中，SSL / TLS證書的壽命已大大縮短。在2011年，由證書頒發機構和瀏覽器軟件供應商組成的證書頒發機構/瀏覽器論壇（CA / Browser Forum）規定了五年的限制，使證書的有效期從8-10年縮至更短。隨后在2015年將其縮短為三年，到2018年又縮短為兩年。

盡管去年9月的一次投票中否決了將證書有效期減少到一年的提議，但該措施得到了蘋果，谷歌，微軟，Mozilla和Opera等瀏覽器制造商的壓倒性支持。

然后在今年2月，Apple在 CA / Browser Forum 面對面會議上向SSL / TLS證書行業宣布了突破性新聞。它已獨立宣布，從2020年9月1日開始，其所有iPhone和Mac操作系統上的Safari瀏覽器將不再信任有效期超過398天的SSL / TLS葉子證書。換句話說，在該日期之后頒發的有效期超過一年的任何葉子證書都將被Safari瀏覽器歸類為不受信任的證書。其他類型的SSL / TLS證書（包括中間件和根）不受影響。

蘋果在支持文件中解釋說：“違反這些新要求的TLS服務器連接將失敗。” “這可能會導致網絡和應用失敗，并阻止網站加載。”對于Google而言，它打算以錯誤“ERR_CERT_VALIDITY_TOO_LONG”拒絕違反有效性條款的證書，并將其視為錯誤簽發。此外，某些SSL證書提供商（例如Digicert和Sectigo）已經停止頒發有效期為兩年的證書。

為避免意外后果，Apple建議頒發證書的最長有效期為397天。

為什么縮短證書壽命？

縮短證書的有效期提高了網站的安全性，開發人員使用具有最新加密標準的證書來提高網站的安全性，并減少可能被盜用并重新用于網絡釣魚和惡意驅動程序攻擊、被忽略的證書的數量，短期證書將確保人們在大約一年內遷移到更安全的證書。此外，由于性能限制，Chrome和Firefox的移動版本無法主動檢查證書狀態，從而導致加載已吊銷證書的網站而不會向用戶發出任何警告。

某首席安全官克里斯·希克曼（Chris Hickman）表示：“過期的證書仍然是一個巨大的問題，每年因停機而給公司造成數百萬美元的損失”“最重要的是，更頻繁的過期證書警告可能會導致Web訪問者更容易繞過安全警告和錯誤消息。但是，證書用戶經常忘記何時更換證書，從而由于意外過期而導致服務中斷，使他們缺乏足夠的能力來大規模管理這些新的較短壽命的證書。”

參考資料

從今天開始，SSL / TLS證書的最大使用壽命為398天：

https://thehackernews.com/2020/09/ssl-tls-certificate-validity-398.html

再見SSL / TLS證書2年最大有效期：

https://www.febhost.com/news/detail/628

圖片來源：由skylarvision在Pixabay上發布 

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:thehackernews.com

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明