CA/B Forum新规:SSL证书最长有效期将变更为2年
发布日期:2017-03-20作为SSL行业的风向标,CA/B Forum制定过许多行业规则及规范SSL证书,其成员由证书颁发机构CA、浏览器厂商组成。CA/B论坛第193号投票将对所有公开信任的SSL证书的最大生命周期设置新限制,新的证书有效期为825天——即2年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。
当今SSL证书的最大有效期为3年(确切地说是39个月),而CA将继续签发该生命周期证书直到新规生效。这项规定将影响所有的SSL证书类型以及有关机构(CA及其用户)。那些依靠超长有效期证书的网站在2018年3月前仍能继续申请,也就是说这张3年有效期证书可以保障他们的网站安全直至2020年。而到那时,再申请的证书将会被2年制所替代,且最长有效期可能会随着政策的改变逐年缩短。
长期使用的证书为行业带来了问题,因为它们对变化设置了一个长期的下限。 例如,今天要更改的任何投票或规章在所有现有证书过期的39个月内不会完全生效,虽然长期证书允许个人用户花费更少的时间重新安装证书,但它为生态系统造成了太多的问题。
上个月,谷歌提议将证书有效期缩短到13个月,被其他CA和浏览器厂商无情拒绝,大家都嫌谷歌太激进,不留情面。但同时,大家又都想缩短有效期。于是193号提案在此后被提出。
Google最近表示,他们对更短的证书最长有效期感兴趣,因为他们提出了许多安全问题。当其投票失败时,Google代表Ryan Sleevi建议Google可以使用其他方式来减少有效期。作为浏览器厂商,Google大可在Chrome中信任的证书设置要求。
虽然这些规则不适用于任何其他浏览器,但在实践中,如果Google的要求比CA/B论坛设置的更严格,则Google的要求将成为新的标准。因为SSL证书需要在所有主流浏览器中都有效,想要被认为有用,CA不得不遵守。
Sleevi最近没有发表关于创建这样的要求的任何声明,并且其他浏览器反对13个月的证书,谷歌可能不太可能制定行业不同意的政策。
无论Google是否采取单边行动,SSL行业将继续寻求缩短证书寿命,虽然这些变化会缓慢地发生,但所有证书用户都应该为未来做好准备,及时更新和更换证书。
相关资讯:
国际CA/浏览器产业联盟(CA/Browser Forum, www.cabforum.org)是制定CA国际标准的技术联盟,成员包括33家全球著名的受信任的根证书颁发机构(CA)和5家著名浏览器...
Google已将现有Chrome特性在非安全站点上禁用,同时新的特性将只支持HTTPS,意在推进HTTPS的普及。
Google的这一新举措,积极明确的告知用户,HTTP页面并不具有任何数据安全的保护能力,鼓励更多的网站选择HTTPS的加密。目前沃通CA提供永久免费的基础安全级数字证书,包括...