谷歌希望将HTTPS证书的使用期限缩短到一年

发布时间:2019-08-19 10:33:00

  谷歌希望将SSL证书(用于保护HTTPS加密流量)的使用寿命从目前的两年缩短到一年多一点。

  这项提议是由谷歌代表瑞安·斯莱维(RyanSleevi)于6月在希腊塞萨洛尼基(Thessaloniki)举行的CA/B论坛的一次F2F会议上提出的。

  CA/B论坛是一个非正式的行业组织,由证书颁发机构(CA;颁发SSL证书的公司)和浏览器制造商组成。

  还没有投票

  根据Sleevi的建议,从2020年3月开始,所有新发行的SSL证书的寿命将变为397天(大约一年一个月),而不是目前的825天(大约两年三个月)。

  没有对该提议进行投票;但是,大多数浏览器供应商表示支持新的SSL证书寿命。

  另一方面,证书颁发机构也不太高兴,至少可以这么说。在过去的十年半里,浏览器制造商已经在缩短SSL证书的使用寿命,将其从8年缩短到5年,然后缩短到3年,最后缩短到2年。

  上一次更改发生在2018年3月,当时浏览器制造商试图将SSL证书的使用寿命从三年缩短为一年,但在证书权威机构的回击后,妥协了两年。 

 
 Digicert推回

  Digicert在CA/B论坛的代表Timothy Hollebeek最近写了一篇博客,表达了公司对这项新提议的立场,毫不奇怪,这并不支持谷歌的计划。

  “那么,提议的安全利益是什么来证明这一成本的合理性呢?目前还不清楚到底有什么,”霍利贝克说。

  “这一变化对恶意网站绝对没有影响,恶意网站的运行时间非常短,从几天到最多一两周不等。之后,域被添加到各种黑名单中,攻击者将进入新域并获取新证书。”

  Digicert Exec解释说,改为缩短SSL证书的使用寿命,将为其客户(SSL证书的用户/购买者)带来更多的成本,这些客户现在必须分配更多的人力资源,以使SSL证书保持最新,或在启用时执行维护更新。

  此外,Hollebeek还认为,“更短的使用寿命证书允许在合规性规则改变时更快地进行转换”也是一个不好的原因,因为标准一开始不应该如此频繁地改变。


  “SSL撤销”问题

  但是在一个回应Hollebeck博客帖子的twitter线程中,安全研究人员Scott Helme认为,较短的ssl证书寿命带来的安全好处与网络钓鱼或恶意软件站点无关,而是与ssl证书撤销过程有关。

  Helme声称,这一过程被破坏,不良的SSL证书在被拒绝和撤销后继续存在数年——因此,他在2018年初提出,缩短SSL证书的使用寿命可以解决这个问题,因为不良的SSL证书将被淘汰的更快。

  市场上最大的证书颁发机构Sectigo(前身为Comodo)对这一变化采取了更积极的态度,而Digicert则采取了更具侵略性的逆向立场。该公司利用这一潜在变化的机会,强调其用于自动更新SSL证书的工具,而不是与浏览器制造商进行公开竞争。


  浏览器制定规则

  中科院和浏览器制造商之间的这场斗争多年来一直在暗处发生。正如一个致力于https相关新闻的博客hashedout所指出的那样,这个建议更多的是证明谁控制了https环境,而不是一切。

  哈希杜特说:“如果中科院投票否决这项措施,浏览器就有可能单方面采取行动,无论如何都会强行改变。”这并非没有先例,但它也从来没有发生在一个传统上像这样具有学院性质的问题上。

  “如果是这样,询问CA/B论坛的意义就变得公平了。因为在那时,浏览器基本上是由法令来统治的,而整个过程只是一场闹剧。”

  与此同时,Digicert正在其客户中进行一项匿名调查,以了解缩短一年的SSL证书寿命将如何影响他们的活动。如果客户抱怨——你可以肯定——那么Digicert很可能会利用调查结果来反对谷歌的提议。

  (内容转载于zdnet)

最新发布
1
惊!91%的工业企业容易遭受网络攻击
2
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
3
来啦!沪上首份《电子劳动合同操作指引》抢先出炉
4
《中华人民共和国个人信息保护法》审议通过
5
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
6
规范“人脸识别”,为盗刷者戴上“紧箍咒”
7
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
8
《网络安全审查办法(修订草案征求意见稿)》解读
9
划重点!《人民法院在线诉讼规则》正在施行中
10
企业数字化转型,数据安全是关键!
相关推荐
5.33亿Facebook用户的电话号码在黑客论坛被泄露
企业数字化转型,数据安全是关键!
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
《网络安全审查办法(修订草案征求意见稿)》解读
由于证书过期,Pulse Secure VPN用户无法登录
加州大学遭勒索软件攻击,隐私数据大规模泄漏
划重点!《人民法院在线诉讼规则》正在施行中
“滴滴事件”敲响个人信息安全警钟
网络钓鱼在2021年第一季度创新高
美国最大的丙烷供应商AmeriGas自曝发生了数据泄露