4006-555-883

谷歌希望将HTTPS证书的使用期限缩短到一年

发布时间:2019-08-19 10:33:00

  谷歌希望将SSL证书(用于保护HTTPS加密流量)的使用寿命从目前的两年缩短到一年多一点。

  这项提议是由谷歌代表瑞安·斯莱维(RyanSleevi)于6月在希腊塞萨洛尼基(Thessaloniki)举行的CA/B论坛的一次F2F会议上提出的。

  CA/B论坛是一个非正式的行业组织,由证书颁发机构(CA;颁发SSL证书的公司)和浏览器制造商组成。

  还没有投票

  根据Sleevi的建议,从2020年3月开始,所有新发行的SSL证书的寿命将变为397天(大约一年一个月),而不是目前的825天(大约两年三个月)。

  没有对该提议进行投票;但是,大多数浏览器供应商表示支持新的SSL证书寿命。

  另一方面,证书颁发机构也不太高兴,至少可以这么说。在过去的十年半里,浏览器制造商已经在缩短SSL证书的使用寿命,将其从8年缩短到5年,然后缩短到3年,最后缩短到2年。

  上一次更改发生在2018年3月,当时浏览器制造商试图将SSL证书的使用寿命从三年缩短为一年,但在证书权威机构的回击后,妥协了两年。 

 
 Digicert推回

  Digicert在CA/B论坛的代表Timothy Hollebeek最近写了一篇博客,表达了公司对这项新提议的立场,毫不奇怪,这并不支持谷歌的计划。

  “那么,提议的安全利益是什么来证明这一成本的合理性呢?目前还不清楚到底有什么,”霍利贝克说。

  “这一变化对恶意网站绝对没有影响,恶意网站的运行时间非常短,从几天到最多一两周不等。之后,域被添加到各种黑名单中,攻击者将进入新域并获取新证书。”

  Digicert Exec解释说,改为缩短SSL证书的使用寿命,将为其客户(SSL证书的用户/购买者)带来更多的成本,这些客户现在必须分配更多的人力资源,以使SSL证书保持最新,或在启用时执行维护更新。

  此外,Hollebeek还认为,“更短的使用寿命证书允许在合规性规则改变时更快地进行转换”也是一个不好的原因,因为标准一开始不应该如此频繁地改变。


  “SSL撤销”问题

  但是在一个回应Hollebeck博客帖子的twitter线程中,安全研究人员Scott Helme认为,较短的ssl证书寿命带来的安全好处与网络钓鱼或恶意软件站点无关,而是与ssl证书撤销过程有关。

  Helme声称,这一过程被破坏,不良的SSL证书在被拒绝和撤销后继续存在数年——因此,他在2018年初提出,缩短SSL证书的使用寿命可以解决这个问题,因为不良的SSL证书将被淘汰的更快。

  市场上最大的证书颁发机构Sectigo(前身为Comodo)对这一变化采取了更积极的态度,而Digicert则采取了更具侵略性的逆向立场。该公司利用这一潜在变化的机会,强调其用于自动更新SSL证书的工具,而不是与浏览器制造商进行公开竞争。


  浏览器制定规则

  中科院和浏览器制造商之间的这场斗争多年来一直在暗处发生。正如一个致力于https相关新闻的博客hashedout所指出的那样,这个建议更多的是证明谁控制了https环境,而不是一切。

  哈希杜特说:“如果中科院投票否决这项措施,浏览器就有可能单方面采取行动,无论如何都会强行改变。”这并非没有先例,但它也从来没有发生在一个传统上像这样具有学院性质的问题上。

  “如果是这样,询问CA/B论坛的意义就变得公平了。因为在那时,浏览器基本上是由法令来统治的,而整个过程只是一场闹剧。”

  与此同时,Digicert正在其客户中进行一项匿名调查,以了解缩短一年的SSL证书寿命将如何影响他们的活动。如果客户抱怨——你可以肯定——那么Digicert很可能会利用调查结果来反对谷歌的提议。

  (内容转载于zdnet)

最新发布
1
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
2
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
3
14.3亿!这家公司将面临比薇娅还高的罚款
4
形势将更严峻!DigiCert发布2022年度八大安全预测
5
频遭网络诈骗,是因为他们还不知道这个……
6
松下集团发生数据泄露 及时部署SSL证书保障信息安全
7
CA/B 论坛年终会议 | 新要求新前景 S/MIME证书和代码签名更新在即
8
All in 安全 电商之痛应当如何化解
9
CA/B三季度信息汇总:效率与安全并重
10
震惊!欧盟健康码疑遭泄露 天威诚信证书管理系统助力私钥安全
相关推荐
国务院发布《关键信息基础设施安全保护条例》 9月1日起施行
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
9月1日,《电信和互联网用户个人信息保护规定》颁布8周年啦
《中华人民共和国个人信息保护法》审议通过
频遭网络诈骗,是因为他们还不知道这个……
不知道如何“不见面”招投标?天威诚信来帮你!
14.3亿!这家公司将面临比薇娅还高的罚款
谁说电信诈骗“雨你无瓜”?受骗对象90后占6成!
《贵州省人力资源社会保障厅关于推动落实〈电子劳动合同订立指引〉有关工作的通知》政策解读
CA/B三季度信息汇总:效率与安全并重