尊敬的用户:
请您密切关注SSL证书有效期缩短的趋势。为积极应对行业变化,亚洲诚信产品团队已为您打造专业的SSL证书自动化产品和解决方案。如需了解,请您联系亚洲诚信销售伙伴或致电400-880-8600,亚洲诚信技术专家团队将为您解答!
亚洲诚信全体
谷歌发布“共同前进”路线图,证书有效期90天或成定局
2023 年3月3日,谷歌在其“共同前进”路线图中宣布,预计在未来的政策更新或CA/B论坛投票提案中将公TLS证书的最长有效期从398天减少到90天。事实上,亚洲诚信TrustAsia早在2017年就预测到有效期缩短这一趋势。
实际上,SSL证书在诞生时并没有证书有效期的限制,可以是5年或10年,但随着SSL证书的广泛使用,特别是2005年5月17日由VeriSign和Comodo牵头成立国际标准组织CA/B浏览器论坛,出台了一系列SSL证书标准,SSL证书有效期开始缩短。
在2018年3月,浏览器厂商试图将SSL证书的有效期从3年缩短到1年,但在CA的抵制下妥协为2年。但是仅仅只过去了一年,浏览器制造商再次提出同样的提案,由于时间仅仅过去了1年,这项提案毫不出人意料的遭受了几乎所有CA的抵制。在2020年2月,苹果违反了标准的CA/B论坛操作程序,没有呼吁投票,而是单方面宣布,决定在其设备上可以使用的TLS/SSL证书有效期缩短为398天,数周后火狐就宣布跟进,而数月后谷歌的跟进则使得CA机构的抵制没有什么实际意义了。
所以我们可以认为,由于浏览器控制着它们自己的根程序要求,HTTPS生态系统其实已经在谷歌、苹果、火狐等主流浏览器厂商主导之下,这点在谷歌的“共同前进”路线图中也可以得到印证。
谷歌声明将通过“未来的政策更新或CA/B论坛投票提案”来执行,这其实是一个耐人寻味的说法。谷歌似乎在说,如果CA/B论坛选择通过投票流程来接受这个提案,那么就是皆大欢喜的结局。但是,如果CA/B论坛投票提案没有通过这个提案,那么不好意思,谷歌大概率会走“政策更新”这条苹果走过的老路了——谷歌很大概率会通过将SSL证书有效期缩短为90天,作为 Chrome 根程序的要求。来单方面强制执行此更改,并且让其成为每个商业公共CA都不得不遵循的事实标准。
谷歌已经通过宣传材料来传达其意图,其实是想让行业和用户有时间为这已经不可避免的转变和随之而来的影响做好充分准备。
从上图的时间轴中我们也可以看到,距离上一次TLS/SSL证书有效期缩短已经过去了两年半的时间了。再综合考虑时间等影响因素之后,亚洲诚信认为,虽然具体时间未知,但TLS/SSL证书有效期缩短为90天很可能会在2024年落地,最快甚至会在2023年的9月。
事实上,CA/B 论坛正在推行可选的有效期为10天的TLS/SSL证书,这类证书不需要强制接受OCSP,预计很快就将通过CABF的投票。
TLS/SSL证书有效期缩短将带来哪些好处
浏览器厂商为什么一直在推动TLS/SSL证书有效期缩短呢?其实谷歌在其“共同前进”路线图对其动机进行了一些阐述:
谷歌认为缩短证书生命周期是一方面是为了鼓励证书自动化。证书自动化将推动HTTPS生态系统摆脱“巴洛克式”(巴洛克式是一种艺术风格,巴洛克的本意就是不规则的,不常规的意思)、耗时且容易出错的颁发流程,降低人力成本和工作难度规避人为失误导致的事故。
另一方面,TLS/SSL证书有效期的减少,促使网站更频繁地续订证书,而续订的证书会采用最新的算法并进行密钥的轮换,从而将生态系统快速过渡到具备抗量子算法所需的加密敏捷性。
同时谷歌认为,缩短证书生命周期还将降低对于吊销检查解决方案的依赖并将减少意外证书透明度(CT)日志取消资格所带来的影响。
证书有效期减少将带来哪些影响?
随着数字化时代的到来,TLS/SSL证书数量呈指数增长趋势,对安全管理部门或者运维部门及其团队来说,TLS/SSL证书有效期缩短的最明显的影响就是证书生命周期管理难度剧增。
而更短的TLS/SSL证书生命周期将会加剧这一难度,IT安全管理部门或者运维部门每年对每个服务器进行4-6次以上的手动证书更新和部署将会变得非常吃力——手动更新和部署会耗费大量的人力,同时非常容易出错,一旦出错就有可能导致严重后果。
总之,IT安全团队在这项本已艰巨的任务上还要再付出4-6倍以上的时间和精力,同时犯错的风险也将倍增。
如何降低风险,同时减少IT安全团队的工作量和工作难度,亚洲诚信TrustAsia认为,TLS/SSL证书自动化生命周期管理至关重要,因此,亚洲诚信TrustAsia产品团队已经推出了专业的SSL证书自动化产品和解决方案,相关信息也将在后续进行分享,请持续进行关注。
