4006-555-883

谷歌希望将HTTPS证书的使用期限缩短到一年

发布时间:2019-08-19 10:33:00

  谷歌希望将SSL证书(用于保护HTTPS加密流量)的使用寿命从目前的两年缩短到一年多一点。

  这项提议是由谷歌代表瑞安·斯莱维(RyanSleevi)于6月在希腊塞萨洛尼基(Thessaloniki)举行的CA/B论坛的一次F2F会议上提出的。

  CA/B论坛是一个非正式的行业组织,由证书颁发机构(CA;颁发SSL证书的公司)和浏览器制造商组成。

  还没有投票

  根据Sleevi的建议,从2020年3月开始,所有新发行的SSL证书的寿命将变为397天(大约一年一个月),而不是目前的825天(大约两年三个月)。

  没有对该提议进行投票;但是,大多数浏览器供应商表示支持新的SSL证书寿命。

  另一方面,证书颁发机构也不太高兴,至少可以这么说。在过去的十年半里,浏览器制造商已经在缩短SSL证书的使用寿命,将其从8年缩短到5年,然后缩短到3年,最后缩短到2年。

  上一次更改发生在2018年3月,当时浏览器制造商试图将SSL证书的使用寿命从三年缩短为一年,但在证书权威机构的回击后,妥协了两年。 

 
 Digicert推回

  Digicert在CA/B论坛的代表Timothy Hollebeek最近写了一篇博客,表达了公司对这项新提议的立场,毫不奇怪,这并不支持谷歌的计划。

  “那么,提议的安全利益是什么来证明这一成本的合理性呢?目前还不清楚到底有什么,”霍利贝克说。

  “这一变化对恶意网站绝对没有影响,恶意网站的运行时间非常短,从几天到最多一两周不等。之后,域被添加到各种黑名单中,攻击者将进入新域并获取新证书。”

  Digicert Exec解释说,改为缩短SSL证书的使用寿命,将为其客户(SSL证书的用户/购买者)带来更多的成本,这些客户现在必须分配更多的人力资源,以使SSL证书保持最新,或在启用时执行维护更新。

  此外,Hollebeek还认为,“更短的使用寿命证书允许在合规性规则改变时更快地进行转换”也是一个不好的原因,因为标准一开始不应该如此频繁地改变。


  “SSL撤销”问题

  但是在一个回应Hollebeck博客帖子的twitter线程中,安全研究人员Scott Helme认为,较短的ssl证书寿命带来的安全好处与网络钓鱼或恶意软件站点无关,而是与ssl证书撤销过程有关。

  Helme声称,这一过程被破坏,不良的SSL证书在被拒绝和撤销后继续存在数年——因此,他在2018年初提出,缩短SSL证书的使用寿命可以解决这个问题,因为不良的SSL证书将被淘汰的更快。

  市场上最大的证书颁发机构Sectigo(前身为Comodo)对这一变化采取了更积极的态度,而Digicert则采取了更具侵略性的逆向立场。该公司利用这一潜在变化的机会,强调其用于自动更新SSL证书的工具,而不是与浏览器制造商进行公开竞争。


  浏览器制定规则

  中科院和浏览器制造商之间的这场斗争多年来一直在暗处发生。正如一个致力于https相关新闻的博客hashedout所指出的那样,这个建议更多的是证明谁控制了https环境,而不是一切。

  哈希杜特说:“如果中科院投票否决这项措施,浏览器就有可能单方面采取行动,无论如何都会强行改变。”这并非没有先例,但它也从来没有发生在一个传统上像这样具有学院性质的问题上。

  “如果是这样,询问CA/B论坛的意义就变得公平了。因为在那时,浏览器基本上是由法令来统治的,而整个过程只是一场闹剧。”

  与此同时,Digicert正在其客户中进行一项匿名调查,以了解缩短一年的SSL证书寿命将如何影响他们的活动。如果客户抱怨——你可以肯定——那么Digicert很可能会利用调查结果来反对谷歌的提议。

  (内容转载于zdnet)

最新发布
1
跟随党的思想指引 共筑网络安全防线
2
Really?这几个行业最容易遭受网络攻击
3
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
4
“羊了个羊”火遍全网,警方发布紧急提醒……
5
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
6
聚焦“国家网络安全宣传周”,部署SSL证书筑牢企业网站安全底线
7
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
8
5年损失超430亿美元!你的电子邮件系统还安全吗?
9
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
10
4亿多条用户信息被盗,企业网站信息安全如何防护?
相关推荐
跟随党的思想指引 共筑网络安全防线
“羊了个羊”火遍全网,警方发布紧急提醒……
上海6家单位被通报整改,企业不可不重视之网络安全防护责任
损失将达10.5万亿美元!未来10年企业如何应对勒索攻击?
Really?这几个行业最容易遭受网络攻击
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
国家新安全技术标准发布!公有云个人信息保护成关注焦点
540万Twitter账户数据被兜售,网站数据安全还有“救”吗?