google提案会将ssl证书的使用期限从825天减少到397天。
谷歌希望将ssl证书的生命周期(用于保护https加密流量)从目前的两年缩短到一年多。
该提案由google代表ryan sleevi?于6月在希腊塞萨洛尼基举行的ca / b论坛f2f会议上提出。
ca / b论坛是一个非官方的行业组织,由证书颁发机构(ca,发布ssl证书的公司)和浏览器制造商组成。
尚未举行投票根据per sleevi的提议,从2020年3月开始,所有新颁发的ssl证书的生命周期将变为397天(大约一年零一个月),而不是当前的825天(大约两年零三个月)。
没有对该提案进行投票;?但是,大多数浏览器供应商都表示支持新的ssl证书生命周期。
另一方面,至少可以说,证书颁发机构并不太高兴。在过去的十五年中,浏览器制造商已经在ssl证书的生命周期中削减了数量,将其从8年减少到5年,然后减少到3年,然后减少到2年。
最后一次更改发生在2018年3月,当时浏览器制造商试图将ssl证书寿命从三年减少到一年,但在证书颁发机构推迟后两年内遭到破坏。
现在,在最后一次更改后不到两年,证书当局感到欺负浏览器制造商接受他们的原始计划,无论2018年投票如何。
digicert推回去了digicert在ca / b论坛的代表timothy hollebeek最近写了一篇博客文章,表达了公司对新提案的立场,毫不奇怪,该提案不赞成谷歌的计划。
hollebeek说:“那么提出的安全效益是什么证明了这一成本呢?目前还不清楚是否存在任何问题。”
“这种变化对恶意网站完全没有影响,恶意网站的运行时间非常短,最多只有几天到一周或两周。之后,该域名已被添加到各种黑名单中,攻击者转移到新域名并获得新证书。“
digicert执行官解释说,相反,这种对更短ssl证书生命周期的更改将为其客户(ssl证书的用户/购买者)带来更多成本,现在必须分配更多人力资源以使ssl证书保持最新或进行更新一个到期时的维护更新。
此外,hollebeek还认为,“更短的终身证书允许在合规规则发生变化时更快地转换”也不是一个好理由,因为标准不应该首先经常改变。
“ssl撤销”问题但是在一篇反对hollebeck博客文章的twitter帖子中,安全研究员scott helme认为,较短的ssl证书生命周期的安全优势与网络钓鱼或恶意软件网站无关,而是与ssl证书撤销过程无关。
helme声称这个过程被破坏,并且错误的ssl证书在被丢失和撤销后继续存在多年 – 因此他在2018年初认为ssl证书的寿命缩短可以解决这个问题,因为错误的ssl证书将被更快地逐步淘汰。
与digicert更具侵略性的逆势立场相比,市场上最大的证书机构sectigo(前身为comodo)对这一变化采取了更积极的态度。该公司利用潜在变革的机会突出其自动化ssl证书续订的工具,而不是与浏览器制造商展开公开斗争。
浏览器制定规则ca和浏览器制造商之间的斗争多年来一直在阴影中发生。正如专门针对https相关新闻的博客hashedout所指出的,这个提议更多的是关于证明谁控制https环境而不是一切。
“如果ca对这一措施进行投票,那么浏览器就有可能单方面采取行动,并且无论如何都只是强迫改变,”?hashedout说道。“这不是没有先例,但它也从未发生在传统上像这样合议的问题上。
“如果确实如此,那么询问ca / b论坛的重点是否公平也是公平的。因为在那时,浏览器基本上都是通过法令来裁决,而整个练习只是一场闹剧。”
与此同时,digicert正在对其客户进行匿名调查,以了解缩短的为期一年的ssl证书生命周期将如何影响他们的活动。如果客户抱怨 – 并且您可以确定 – 那么digicert很可能会使用调查结果来推动google的提案。