图片来源: 西尔维娅·巴蒂泽尔(Sylwia Bartyzel)
从2020年9月1日开始,Apple的Safari浏览器将不再信任超过398天(相当于一年加上续保宽限期)的SSL / TLS证书。 苹果在报告中提到了“正在不断努力改善网络安全性”。 公告 今年早些时候。 更改会影响Apple平台的完整阵容:
此更改将仅影响从预装有iOS,iPadOS,macOS,watchOS和tvOS的根CA颁发的TLS服务器证书。 此外,此更改将仅影响2020年9月1日或之后发布的TLS服务器证书; 在此日期之前颁发的任何证书都不会受到此更改的影响。
Apple将立即开始执行更改,这意味着它将拒绝不符合新要求的TLS服务器的连接。 苹果公司宣布之后,两者 谷歌 和 Mozilla 贡献者提出了自己的实施方案,以将证书有效期限制为398天。
所有主要的证书颁发机构都在排队,更改其产品以符合新的一年限制。 这包括CA市场的领导者 IdenTrust,大致占 52% SSL证书。 DigiCert,一个占领了20%市场的CA, 已发表 简要说明合规性,强调它给证书使用者带来的负担:
苹果为何单方面决定强制缩短证书寿命? 他们的发言人说这是为了“保护用户”。 从先前的CA / B论坛讨论中我们知道,在发生重大安全事件的情况下,更长的证书生存期在替换证书方面面临挑战。 苹果显然希望避免生态系统无法快速响应与证书相关的主要威胁。 短期证书可以提高安全性,因为如果TLS证书受到威胁,它们可以减少暴露的窗口。 它们还通过确保每年对身份(例如公司名称,地址和活动域)进行更新来帮助纠正组织内部的正常运营流失。 与任何改进一样,应在缩短寿命和证书用户实施这些更改所需的困难之间取得平衡。
更改背后的想法是,具有较短生命周期的证书更加安全,因为泄露的密钥将在较短的时间范围内到期。 新的一年期有效期迫使主机和证书提供者将自动化置于高度优先地位。 实际上,这是让我们加密的免费证书已经存在不足的原因之一 90天的生命周期。 它在几年前就已被采用,以鼓励自动化,因此较短的寿命并不比较长的寿命方便。
让我们加密建议订户每60天续订一次,甚至在更广泛地采用自动续订工具后,甚至可以考虑建议缩短使用寿命。 由于苹果公司的政策正在迫使整个行业进行变革,因此这可能比预期的要早发生。
许多WordPress用户使用类似插件的Let’s Encrypt证书来使用 WP强制SSL和HTTPS重定向 (超过10万次有效安装), SSL Zen (超过2万次安装)或 WP加密 (超过2万次安装)。 有些插件内置了自动续订功能,但有些插件是作为商业升级的一部分提供的。 其他人则依赖主机执行续订。
尽管大多数网站所有者不需要采取任何措施,但是如果没有自动证书管理,较短的证书生命周期可能会变得很麻烦。 它还可能会影响主机和证书颁发机构提供的不同选项的客户计费。 如果您为以前使用其生命周期更长的证书的客户管理网站,则当更改生效时,您将要确保设置某种形式的自动证书管理。
像这样:
喜欢加载中……