圖片來源: 西爾維婭·巴蒂澤爾(Sylwia Bartyzel)
從2020年9月1日開始,Apple的Safari瀏覽器將不再信任超過398天(相當於一年加上續保寬限期)的SSL / TLS證書。 蘋果在報告中提到了「正在不斷努力改善網路安全性」。 公告 今年早些時候。 更改會影響Apple平台的完整陣容:
此更改將僅影響從預裝有iOS,iPadOS,macOS,watchOS和tvOS的根CA頒發的TLS伺服器證書。 此外,此更改將僅影響2020年9月1日或之後發布的TLS伺服器證書; 在此日期之前頒發的任何證書都不會受到此更改的影響。
Apple將立即開始執行更改,這意味著它將拒絕不符合新要求的TLS伺服器的連接。 蘋果公司宣布之後,兩者 谷歌 和 Mozilla 貢獻者提出了自己的實施方案,以將證書有效期限制為398天。
所有主要的證書頒發機構都在排隊,更改其產品以符合新的一年限制。 這包括CA市場的領導者 IdenTrust,大致占 52% SSL證書。 DigiCert,一個佔領了20%市場的CA, 已發表 簡要說明合規性,強調它給證書使用者帶來的負擔:
蘋果為何單方面決定強制縮短證書壽命? 他們的發言人說這是為了「保護用戶」。 從先前的CA / B論壇討論中我們知道,在發生重大安全事件的情況下,更長的證書生存期在替換證書方面面臨挑戰。 蘋果顯然希望避免生態系統無法快速響應與證書相關的主要威脅。 短期證書可以提高安全性,因為如果TLS證書受到威脅,它們可以減少暴露的窗口。 它們還通過確保每年對身份(例如公司名稱,地址和活動域)進行更新來幫助糾正組織內部的正常運營流失。 與任何改進一樣,應在縮短壽命和證書用戶實施這些更改所需的困難之間取得平衡。
更改背後的想法是,具有較短生命周期的證書更加安全,因為泄露的密鑰將在較短的時間範圍內到期。 新的一年期有效期迫使主機和證書提供者將自動化置於高度優先地位。 實際上,這是讓我們加密的免費證書已經存在不足的原因之一 90天的生命周期。 它在幾年前就已被採用,以鼓勵自動化,因此較短的壽命並不比較長的壽命方便。
讓我們加密建議訂戶每60天續訂一次,甚至在更廣泛地採用自動續訂工具後,甚至可以考慮建議縮短使用壽命。 由於蘋果公司的政策正在迫使整個行業進行變革,因此這可能比預期的要早發生。
許多WordPress用戶使用類似插件的Let’s Encrypt證書來使用 WP強制SSL和HTTPS重定向 (超過10萬次有效安裝), SSL Zen (超過2萬次安裝)或 WP加密 (超過2萬次安裝)。 有些插件內置了自動續訂功能,但有些插件是作為商業升級的一部分提供的。 其他人則依賴主機執行續訂。
儘管大多數網站所有者不需要採取任何措施,但是如果沒有自動證書管理,較短的證書生命周期可能會變得很麻煩。 它還可能會影響主機和證書頒發機構提供的不同選項的客戶計費。 如果您為以前使用其生命周期更長的證書的客戶管理網站,則當更改生效時,您將要確保設置某種形式的自動證書管理。
像這樣:
喜歡載入中……