4006-555-883

谷歌希望将HTTPS证书的使用期限缩短到一年

发布时间:2019-08-19 10:33:00

  谷歌希望将SSL证书(用于保护HTTPS加密流量)的使用寿命从目前的两年缩短到一年多一点。

  这项提议是由谷歌代表瑞安·斯莱维(RyanSleevi)于6月在希腊塞萨洛尼基(Thessaloniki)举行的CA/B论坛的一次F2F会议上提出的。

  CA/B论坛是一个非正式的行业组织,由证书颁发机构(CA;颁发SSL证书的公司)和浏览器制造商组成。

  还没有投票

  根据Sleevi的建议,从2020年3月开始,所有新发行的SSL证书的寿命将变为397天(大约一年一个月),而不是目前的825天(大约两年三个月)。

  没有对该提议进行投票;但是,大多数浏览器供应商表示支持新的SSL证书寿命。

  另一方面,证书颁发机构也不太高兴,至少可以这么说。在过去的十年半里,浏览器制造商已经在缩短SSL证书的使用寿命,将其从8年缩短到5年,然后缩短到3年,最后缩短到2年。

  上一次更改发生在2018年3月,当时浏览器制造商试图将SSL证书的使用寿命从三年缩短为一年,但在证书权威机构的回击后,妥协了两年。 

 
 Digicert推回

  Digicert在CA/B论坛的代表Timothy Hollebeek最近写了一篇博客,表达了公司对这项新提议的立场,毫不奇怪,这并不支持谷歌的计划。

  “那么,提议的安全利益是什么来证明这一成本的合理性呢?目前还不清楚到底有什么,”霍利贝克说。

  “这一变化对恶意网站绝对没有影响,恶意网站的运行时间非常短,从几天到最多一两周不等。之后,域被添加到各种黑名单中,攻击者将进入新域并获取新证书。”

  Digicert Exec解释说,改为缩短SSL证书的使用寿命,将为其客户(SSL证书的用户/购买者)带来更多的成本,这些客户现在必须分配更多的人力资源,以使SSL证书保持最新,或在启用时执行维护更新。

  此外,Hollebeek还认为,“更短的使用寿命证书允许在合规性规则改变时更快地进行转换”也是一个不好的原因,因为标准一开始不应该如此频繁地改变。


  “SSL撤销”问题

  但是在一个回应Hollebeck博客帖子的twitter线程中,安全研究人员Scott Helme认为,较短的ssl证书寿命带来的安全好处与网络钓鱼或恶意软件站点无关,而是与ssl证书撤销过程有关。

  Helme声称,这一过程被破坏,不良的SSL证书在被拒绝和撤销后继续存在数年——因此,他在2018年初提出,缩短SSL证书的使用寿命可以解决这个问题,因为不良的SSL证书将被淘汰的更快。

  市场上最大的证书颁发机构Sectigo(前身为Comodo)对这一变化采取了更积极的态度,而Digicert则采取了更具侵略性的逆向立场。该公司利用这一潜在变化的机会,强调其用于自动更新SSL证书的工具,而不是与浏览器制造商进行公开竞争。


  浏览器制定规则

  中科院和浏览器制造商之间的这场斗争多年来一直在暗处发生。正如一个致力于https相关新闻的博客hashedout所指出的那样,这个建议更多的是证明谁控制了https环境,而不是一切。

  哈希杜特说:“如果中科院投票否决这项措施,浏览器就有可能单方面采取行动,无论如何都会强行改变。”这并非没有先例,但它也从来没有发生在一个传统上像这样具有学院性质的问题上。

  “如果是这样,询问CA/B论坛的意义就变得公平了。因为在那时,浏览器基本上是由法令来统治的,而整个过程只是一场闹剧。”

  与此同时,Digicert正在其客户中进行一项匿名调查,以了解缩短一年的SSL证书寿命将如何影响他们的活动。如果客户抱怨——你可以肯定——那么Digicert很可能会利用调查结果来反对谷歌的提议。

  (内容转载于zdnet)

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强
4·15国家安全教育日 | 网络安全,你我共建
警惕!银行系统漏洞频发,国密改造亟需加快推进
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
9800余起!公安部公布2021年侵犯个人信息案例,保护信息安全任重道远
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?
近七成公众担心账号和个人信息泄露,维护网络安全任重道远
Tengine+BabaSSL强强联合,vTrus证书大有可为