在2019年7月26日,谷歌
提出了一项建议,将服务器SSL / TLS证书的最长有效期从目前的825天减少到397天(约13个月),即减少一半左右。 Google相信,只有对证书进行操作的完全自动化才能摆脱当前的安全问题,而这通常是人为因素造成的。 因此,理想情况下,您应该争取自动颁发短期证书。
CA /浏览器论坛(CABF)组织将该问题付诸表决,该组织设定了SSL / TLS证书的要求,包括最大有效期。
9月10日,
结果宣布了 :财团成员
对该提案投了
反对票 。
结果
证书发行者投票
赞成(11票) :亚马逊,Buypass,Certigna(DHIMYOTIS),certSIGN,Sectigo(以前是Comodo CA),eMudhra,Kamu SM,Let's Encrypt,Logius,PKIoverheid,SHECA,SSL.com
缺点(20) :Camerfirma,Certum(Asseco),CFCA,中华电信,Comsign,D-TRUST,DarkMatter,Entrust Datacard,Firmaprofesional,GDCA,GlobalSign,GoDaddy,Izenpe,网络解决方案,OATI,SECOM,SwissSign,TWCA,TrustCor ,SecureTrust(以前称为Trustwave)
弃权(2) :HARICA,TurkTrust
证书消费者投票
对于(7) :Apple,Cisco,Google,Microsoft,Mozilla,Opera,360
反对 :0
弃权 :0
根据CA /浏览器论坛的规则,要做出积极的决定,必须三分之二的证书发行者和50%的消费者投票一票。
Digicert代表为未投票而
道歉 ,他们将投票赞成缩短证书的有效性。 他们指出,对于某些客户而言,缩短其有效期可能是一个问题,但是从长远来看,这会带来安全性好处。
一种或另一种方式,但行业尚未准备好缩短证书的有效性并完全转换为自动化解决方案。 认证机构本身可以提供此类服务,但是许多客户尚未实现自动化。 因此,将时间减少到397天被推迟。 但是问题仍然悬而未决。
现在,Google可以尝试实现标准的“强制”,就像
证书透明协议一样。 此外,它还受到其他开发人员的支持:Apple,Microsoft,Mozilla和Opera。
回想一下,完全自动化是非营利性认证中心Let's Encrypt所基于的原则之一。 它会向所有人颁发免费证书,但是最长证书有效期限制为90天。 较短的证书生存期有
两个主要优点 :
- 限制由于密钥使用时间较短和证书使用不正确而造成的损坏,因为它们使用时间较短;
- 短期证书支持并鼓励自动化,这对于简化HTTPS的使用必不可少。 如果我们要将整个万维网迁移到HTTPS,则不能期望每个现有站点的管理员手动更新证书。 相反,一旦证书的签发和续签变得完全自动化,则较短的证书生存期将变得更加方便和实用。
GlobalSign在哈布雷(Habré)上的民意调查显示,有73.7%的受访者“更有可能”支持降低证书的有效性。
至于在地址栏中隐藏SSL证书的EV徽章,该财团未就此问题投票,因为浏览器UI的问题完全在开发人员的能力范围内。 9月至10月,将发布新版本的Chrome 77和Firefox 70,这将使EV证书在浏览器地址栏中的特殊位置消失。 桌面版Firefox 70的变化如下所示:
那是:
将是:
根据安全专家Troy Hunt的说法,从浏览器的地址栏中删除EV信息
实际上就是埋藏了这种类型的证书 。
