Safari浏览器预计在今年9月份起,将不再接受有效期超过13个月的新HTTPS证书。这意味着,在截止时间之后使用长寿命SSL/TLS证书的网站将在苹果浏览器中抛出隐私错误。
该政策是由iGiant在周三的一个认证机构浏览器论坛(CA/Browser)会议上公布的。具体来说,根据出席会议的人说,从9月1日起,任何有效期超过398天的新网站证书将不受Safari浏览器的信任,而被拒绝。在截止日期之前颁发的旧证书不受此规则的影响。
通过在Safari中实现这一策略,苹果将进一步在所有iOS和macOS设备上实施这一策略。这将给网站管理员和开发人员带来压力,以确保他们的证书符合苹果的要求,否则将有可能影响到超过10亿台设备和计算机的网页页面。
Tim Callan是PKI和SSL管理公司Sectigo的高级研究员,他于本周在斯洛伐克出席会议的时候,告诉注册中心:“近期,苹果在第49届CA/浏览器论坛上当面宣布,从2020年9月1日起,接受TLS证书的期限将限制在398天。在该日期或之后签发的期限超过398天的证书在苹果产品中不受信任。“
“9月1日之前颁发的证书的有效期与今天的证书的有效期相同,即825天。这些证书不需要任何操作。”
苹果、谷歌和CA/Browser的其他成员几个月来一直在考虑削减证书的使用寿命。这项政策有其利弊。
此举的目的是通过确保开发人员使用符合最新加密标准的证书来提高网站安全性,并减少可能被窃取并重新用于钓鱼和恶意软件攻击的旧的、被忽略的证书的数量。如果科学家或者黑客能够打破SSL/TLS标准中的加密,那么短期证书将确保人们在大约一年内迁移到更安全的证书。
缩短证书的使用寿命确实会带来一些缺点。有人注意到,通过增加证书更换的频率,苹果和其他公司也使得网站所有者和企业的生活变得更加复杂,他们必须管理证书和合规性。
“公司需要寻求自动化来帮助证书部署、更新和生命周期管理,以减少随着证书替换频率的增加而带来的人力开销和错误风险,”Callan告诉我们。
事实上我们注意到,使用有效期90天免费HTTPS证书,提供自动化续订加密的工具,这些证书也能很好地工作——目前EIReg的证书就是保持这样子更新的。
GitHub.com使用的是两年期的证书,虽然是在截止日期之前颁发的,但这将违反苹果的规定。不过,它将在6月前续签,因此有足够的机会来解决这个问题。苹果网站有很多长达一年的HTTPS证书,需要在10月份更新。
微软是一个很有意思的公司:它的网络证书是两年的,10月份到期。如果EIReg再续签两年的话,它就会被Safari的政策搞砸了。
苹果似乎没有发布任何公告。Digicert的院长Coclin发布了一份关于该政策的备忘录:
“为什么苹果单方面决定实施更短的证书生存期?”Coclin沉思着。
“他们的发言人说,这是为了‘保护用户’。我们从之前的CA/B论坛讨论中了解到,在发生重大安全事件的情况下,较长的证书使用寿命在替换证书方面是一个挑战。苹果显然希望避免一个无法快速应对与证书相关的主要威胁的生态系统。
“短命证书提高了安全性,因为如果TLS证书受到破坏,它们会减少暴露的窗口。它们还通过确保每年更新公司名称、地址和活动域等身份信息,帮助补救组织内的正常业务流失。与任何改进一样,缩短生命周期应与证书用户实现这些更改所需的困难相平衡。”
