4006-555-883

谷歌希望将HTTPS证书的使用期限缩短到一年

发布时间:2019-08-19 10:33:00

  谷歌希望将SSL证书(用于保护HTTPS加密流量)的使用寿命从目前的两年缩短到一年多一点。

  这项提议是由谷歌代表瑞安·斯莱维(RyanSleevi)于6月在希腊塞萨洛尼基(Thessaloniki)举行的CA/B论坛的一次F2F会议上提出的。

  CA/B论坛是一个非正式的行业组织,由证书颁发机构(CA;颁发SSL证书的公司)和浏览器制造商组成。

  还没有投票

  根据Sleevi的建议,从2020年3月开始,所有新发行的SSL证书的寿命将变为397天(大约一年一个月),而不是目前的825天(大约两年三个月)。

  没有对该提议进行投票;但是,大多数浏览器供应商表示支持新的SSL证书寿命。

  另一方面,证书颁发机构也不太高兴,至少可以这么说。在过去的十年半里,浏览器制造商已经在缩短SSL证书的使用寿命,将其从8年缩短到5年,然后缩短到3年,最后缩短到2年。

  上一次更改发生在2018年3月,当时浏览器制造商试图将SSL证书的使用寿命从三年缩短为一年,但在证书权威机构的回击后,妥协了两年。 

 
 Digicert推回

  Digicert在CA/B论坛的代表Timothy Hollebeek最近写了一篇博客,表达了公司对这项新提议的立场,毫不奇怪,这并不支持谷歌的计划。

  “那么,提议的安全利益是什么来证明这一成本的合理性呢?目前还不清楚到底有什么,”霍利贝克说。

  “这一变化对恶意网站绝对没有影响,恶意网站的运行时间非常短,从几天到最多一两周不等。之后,域被添加到各种黑名单中,攻击者将进入新域并获取新证书。”

  Digicert Exec解释说,改为缩短SSL证书的使用寿命,将为其客户(SSL证书的用户/购买者)带来更多的成本,这些客户现在必须分配更多的人力资源,以使SSL证书保持最新,或在启用时执行维护更新。

  此外,Hollebeek还认为,“更短的使用寿命证书允许在合规性规则改变时更快地进行转换”也是一个不好的原因,因为标准一开始不应该如此频繁地改变。


  “SSL撤销”问题

  但是在一个回应Hollebeck博客帖子的twitter线程中,安全研究人员Scott Helme认为,较短的ssl证书寿命带来的安全好处与网络钓鱼或恶意软件站点无关,而是与ssl证书撤销过程有关。

  Helme声称,这一过程被破坏,不良的SSL证书在被拒绝和撤销后继续存在数年——因此,他在2018年初提出,缩短SSL证书的使用寿命可以解决这个问题,因为不良的SSL证书将被淘汰的更快。

  市场上最大的证书颁发机构Sectigo(前身为Comodo)对这一变化采取了更积极的态度,而Digicert则采取了更具侵略性的逆向立场。该公司利用这一潜在变化的机会,强调其用于自动更新SSL证书的工具,而不是与浏览器制造商进行公开竞争。


  浏览器制定规则

  中科院和浏览器制造商之间的这场斗争多年来一直在暗处发生。正如一个致力于https相关新闻的博客hashedout所指出的那样,这个建议更多的是证明谁控制了https环境,而不是一切。

  哈希杜特说:“如果中科院投票否决这项措施,浏览器就有可能单方面采取行动,无论如何都会强行改变。”这并非没有先例,但它也从来没有发生在一个传统上像这样具有学院性质的问题上。

  “如果是这样,询问CA/B论坛的意义就变得公平了。因为在那时,浏览器基本上是由法令来统治的,而整个过程只是一场闹剧。”

  与此同时,Digicert正在其客户中进行一项匿名调查,以了解缩短一年的SSL证书寿命将如何影响他们的活动。如果客户抱怨——你可以肯定——那么Digicert很可能会利用调查结果来反对谷歌的提议。

  (内容转载于zdnet)

最新发布
1
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
2
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!
3
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
4
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
5
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
6
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
7
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
8
关于印发《国家密码科学基金管理办法(试行)》的通知
9
供应链采购平台建设难?可能是你没用过这套解决方案
10
人社部印发《数字人社建设行动方案》,数字赋能跑出人社服务“加速度”
相关推荐
共创共赢!铜锁项目获评2023开源创新榜“优秀开源项目”
商务部等12部门联合印发重磅文件,SSL数据安全保障服务价值凸显
行业用户认可|天威诚信获评“2023用户推荐网络安全厂商品牌”
关于印发《国家密码科学基金管理办法(试行)》的通知
网信办出手处置诈骗网站,企业如何防范网络钓鱼威胁?
《铁路关键信息基础设施安全保护管理办法》发布,双算法证书方案让数据传输更加安全可信
反转不断的“凤印案” 从《大唐狄公案》看传统印章的管理困局
各地文旅局“卷”疯了!电子合同服务助力旅游经济快速上分!