苹果公司在2020年2月做出的一项决定在浏览器界引起了广泛反响。证书颁发机构行业不得不勉强接受SSL/TLS证书新的强制性生命周期为398天。
Mozilla而且谷歌在他们的浏览器中加入苹果的规则最初的公告.
从2020年9月1日开始,Apple、谷歌和Mozilla的浏览器和应用程序将显示生命期超过398天的新TLS证书的错误。
还读:今天不要打开Facebook或谷歌;由于安全失败,超过数百万的网站提出“不安全”警告
CA/B论坛和TLS生命周期
这一举措至关重要,因为它不仅改变了TLS证书的工作方式,而且还打破了常规的行业惯例以及浏览器和CA合作。
被称为CA/B组,这是一个自愿的社区由证书颁发机构组成。颁发TLS证书的公司保护HTTPS流量和开发人员。自2005年以来,该社区制定了关于如何颁发TLS证书以及浏览器如何处理和验证这些证书的规则。
浏览器和ca通常在找到共同点之前就即将出台的规则进行讨论。然后他们制定了由所有成员执行的规则。然而,在其15年的历史中,有一个主题无论何时提出都总是令人恼火——那就是TLS证书的生命周期。
TLS的使用寿命从8年开始,而浏览器制造商多年来一直在削减它,将其减少到5年,然后是3年,然后是2年。
TLS证书再次缩短
最新的改革于2018年3月生效,当时浏览器开发人员试图将SSL证书的生命周期从3年缩短到1年,但在ca的大力抵制下妥协了两年。
然而,在浏览器制造商将TLS的使用期限从3年削减到2年之后,仅仅过了一年,他们就再次试图改变它,这让ca感到沮丧,他们当时认为他们已经达成了共识,并解决了这个问题。
作为ZDNet指出去年夏天,浏览器供应商再次试图将TLS证书的有效期从两年延长到一年。2019年9月,谷歌对该提案的投票失败了。虽然该计划得到了浏览器开发人员的100%支持,但只有35%的ca投票接受一年有效期的TLS证书。
还读:谷歌Chrome和其他谷歌产品将拒绝中国颁发的安全证书:这是为什么
浏览器厂商否决CA/B论坛。
然而,苹果公司在2月份违反了CA/B平台ZDNet的标准操作程序报道.苹果没有要求进行投票,而是明确宣布决定对其应用程序实施398天的生命周期,而不管CA / B论坛中的CA如何看待这一问题。
Mozilla在两周后发布了同样的消息,谷歌也在本月早些时候发布了类似的声明。
简而言之,今年发生的事情证明了浏览器制造商正在操纵CA / B平台,对HTTPS生态系统保持完全控制,而CA只是纯粹的参与者,没有真正的影响力。
HashedOut,一个致力于CA行业的CA友好新闻网站,也预测了今年会发生什么。“如果法院在2019年9月的投票中否决了这一措施,浏览器就有可能单方面采取行动,强行改变这一做法。”该网站在2019年8月写道在投票前一个月。
“这并非没有先例,但在一个传统上如此具有学院性的问题上也从未发生过,”它补充道。如果是这样的话,我们就可以问CA/B论坛的意义何在了。因为在这一点上,浏览器基本上将通过法令来统治,整个活动将只是一场闹剧。”
2020年9月1日之后,这意味着什么?
对于证书颁发机构:如果要在Apple、谷歌和Mozilla浏览器中接受TLS证书,证书的生命期不能超过398天。如果不是,证书将发出一个错误,连接将被删除。
网站所有者:他们将不得不每年更新TLS证书,而不是两年。
最终用户:您可以在浏览器中看到更多HTTPS错误。