图片来源:Sylwia Bartyzel
9月1日起, 2020 年,Apple 的 Safari 浏览器将不再信任超过 398 天(相当于一年加上续订宽限期)的 SSL/TLS 证书。苹果在报告中提到,它“正在不断努力提高网络安全性”。今年早些时候的公告。此更改会影响 Apple 平台的完整阵容:
此更改只会影响从预装 iOS、iPadOS、macOS、watchOS 和tvOS TLS 服务器证书。此外,此更改只会影响 2020 年 9 月 1 日或之后颁发的 TLS 服务器证书;在该日期之前颁发的任何证书将不受此更改的影响。
Apple 将立即开始实施更改,这意味着它将拒绝与不符合新要求的 TLS 服务器的连接。在 Apple 发布公告后,Google 和 Mozilla 的贡献者都提出了自己的实施方案,将证书有效期限制为 398 天。
所有主要的证书颁发机构都在排队更改其产品以符合新的一年限制。这包括 CA 市场领导者 IdenTrust,它拥有大约 52% 的 SSL 证书。 DigiCert 是一家占据 20% 市场份额的 CA,它发布了一份合规简报,强调了它给证书用户带来的负担:
Apple 为什么单方面决定执行缩短的证书寿命?他们的发言人说这是为了“保护用户”。我们从之前的 CA/B 论坛讨论中了解到,较长的证书生命周期对在发生重大安全事件时更换证书提出了挑战。 Apple 显然希望避免生态系统无法对主要的证书相关威胁做出足够快的响应。短期证书提高了安全性,因为如果 TLS 证书受到威胁,它们会减少暴露窗口。它们还通过确保每年更新公司名称、地址和活动域等身份,帮助纠正组织内正常运营的损失。与任何改进一样,应该在缩短的生命周期和证书用户实施这些更改所需的难度之间取得平衡。
改变背后的想法是,生命周期较短的证书更安全,因为泄露的密钥将在较短的时间内过期。新的一年有效期迫使主机和证书提供商将自动化放在首位。事实上,这也是 Let's Encrypt 的免费证书已经只有短短 90 天有效期的原因之一。它在多年前被采用以鼓励自动化,因此较短的使用寿命不如较长的使用寿命方便。
Let's Encrypt 建议订阅者每 60 天续订一次,甚至可以考虑在自动续订工具被广泛采用后建议缩短使用期限。这可能会比预期更早发生,因为 Apple 的政策正在迫使整个行业进行变革。
许多 WordPress 用户使用 Let's Encrypt 证书等插件强制使用 WP(超过 100,000 次活动安装)、SSL Zen(超过 20,000 次安装)或 WP Encrypt(超过 200 万次安装)进行 SSL 和 HTTPS 重定向。有些插件内置了自动更新功能,但有些插件是作为商业升级的一部分提供的。其他人依靠主机来执行续订。
如果没有自动证书管理,较短的证书生命周期可能会造成麻烦,尽管大多数网站所有者不需要采取任何行动。它还可能影响客户对主机和证书颁发机构提供的不同选项的计费。如果您为以前使用过更长生命周期证书的客户管理网站,您需要确保在更改生效时设置某种形式的自动证书管理。
喜欢这样:
喜欢正在加载...
资源
