這項新規(guī)將在2018年實施......
隨著CAB Forum第193號投票的通過锈遥,SSL行業(yè)將擁有更新更短的最長SSL證書有效期医舆。
作為SSL行業(yè)的風向標躏尉,CAB Forum制定過許多行業(yè)規(guī)則缚甩,及規(guī)范SSL證書屎债。其成員由證書頒發(fā)機構(gòu)、瀏覽器廠商組成拜英。CAB論壇第193號投票(由Entrust提出)將對所有公開信任的SSL證書的最大生命周期設(shè)置新限制静汤。新的證書有效期為825天——即兩年有效期,包括更新和更換部分填充內(nèi)置——將從2018年3月1日起生效居凶。
當今SSL證書的最大有效期為3年(確切地說是39個月)虫给,而CA將繼續(xù)簽發(fā)該生命周期證書直到新規(guī)生效。這項規(guī)定將影響所有的SSL證書類型以及有關(guān)機構(gòu)(CA及其用戶)侠碧。那些依靠超長有效期證書的網(wǎng)站在2018年3月前仍能繼續(xù)申請抹估,也就是說這張3年有效期證書可以保障他們的網(wǎng)站安全直至2020年。而到那時弄兜,再申請的證書將會被兩年制所替代药蜻,且最長有效期可能會隨著政策的改變逐年縮短。
長期使用的證書為行業(yè)帶來了問題替饿,因為它們對變化設(shè)置了一個長期的下限语泽。 例如,今天要更改的任何投票或規(guī)章在所有現(xiàn)有證書過期的39個月內(nèi)不會完全生效视卢。 雖然長期證書允許個人用戶花費更少的時間重新安裝證書踱卵,但它為生態(tài)系統(tǒng)造成了太多的問題。
上個月据过,谷歌提議將證書有效期縮短到13個月惋砂,被其他CA和瀏覽器廠商無情拒絕。大家都嫌谷歌太激進绳锅,不留情面西饵。但同時,大家又都想縮短有效期榨呆。于是罗标,193號提案在此后被提出。
Google最近表示积蜻,他們對更短的證書最長有效期感興趣闯割,因為他們提出了許多安全問題。當其投票失敗時竿拆,Google代表Ryan Sleevi建議Google可以使用其他方式來減少有效期宙拉。作為瀏覽器廠商,Google大可在Chrome中信任的證書設(shè)置要求丙笋。
雖然這些規(guī)則不適用于任何其他瀏覽器谢澈,但在實踐中煌贴,如果Google的要求比CAB論壇設(shè)置的更嚴格,則Google的要求將成為新的標準锥忿。因為SSL證書需要在所有主流瀏覽器中都有效牛郑,想要被認為有用,CA不得不遵守敬鬓。
Sleevi最近沒有發(fā)表關(guān)于創(chuàng)建這樣的要求的任何聲明淹朋,并且其他瀏覽器反對13個月的證書,谷歌可能不太可能制定行業(yè)不同意的政策钉答。
無論Google是否采取單邊行動础芍,SSL行業(yè)將繼續(xù)尋求縮短證書壽命。雖然這些變化會緩慢地發(fā)生数尿,但所有證書用戶都應(yīng)該為未來做好準備仑性,及時更新和更換證書。
