信息來(lái)源:hackernews
Safari將在今年晚些時(shí)候不再接受新的長(zhǎng)效HTTPS證書(shū),也就是自其創(chuàng)建之日起過(guò)13個(gè)月有效期的新證書(shū)。這意味著使用在截止時(shí)間點(diǎn)之后發(fā)出的長(zhǎng)壽命SSL/TLS證書(shū)的網(wǎng)站將在蘋(píng)果系統(tǒng)的瀏覽器中引發(fā)隱私錯(cuò)誤����。
蘋(píng)果在證書(shū)頒發(fā)機(jī)構(gòu)瀏覽器論壇(CA / Browser)會(huì)議上宣布了該政策����。從2020年9月1日開(kāi)始����,任何有效期超過(guò)398天的新網(wǎng)站證書(shū)都不會(huì)受到Safari瀏覽器的信任����,而是會(huì)被拒絕。而在截止日期之前頒發(fā)的較舊證書(shū)不受此規(guī)則的影響����。
通過(guò)在Safari中實(shí)施該策略,蘋(píng)果將會(huì)通過(guò)擴(kuò)展在所有iOS和macOS設(shè)備上實(shí)施該策略����。這將對(duì)網(wǎng)站管理員和開(kāi)發(fā)人員造成一定影響,他們需要調(diào)整接下來(lái)的證書(shū)運(yùn)營(yíng)策略����,確保其證書(shū)滿足蘋(píng)果的要求,否則可能會(huì)影響超過(guò)10億臺(tái)設(shè)備和計(jì)算機(jī)上的頁(yè)面訪問(wèn)����。
PKI和SSL管理公司Sectigo的高級(jí)研究員蒂姆·卡蘭(Tim Callan)參加了本周在斯洛伐克舉行的會(huì)議����,他證實(shí)了這一消息:“本周����,蘋(píng)果在第49屆CA/瀏覽器論壇宣布����,他們的產(chǎn)品將否決在9月1日或之后發(fā)行的期限超過(guò)398天的證書(shū)的有效性。9月1日之前頒發(fā)的證書(shū)將具有與今天的證書(shū)相同的可接受期限����,即825天,從而無(wú)需對(duì)這些證書(shū)采取任何措施����。”
蘋(píng)果����,谷歌和CA/Browser的其他成員已經(jīng)考慮了縮短證書(shū)有效期的問(wèn)題,該政策有其優(yōu)點(diǎn)和缺點(diǎn)����。
此舉的目的是通過(guò)確保開(kāi)發(fā)人員使用具有最新加密標(biāo)準(zhǔn)的證書(shū)來(lái)提高網(wǎng)站的安全性,并減少可能被盜用并重新用于網(wǎng)絡(luò)釣魚(yú)和惡意驅(qū)動(dòng)程序攻擊的舊的、被忽略的證書(shū)的數(shù)量����,短期證書(shū)將確保人們?cè)诖蠹s一年內(nèi)遷移到更安全的證書(shū)。
縮短證書(shū)的使用壽命確實(shí)存在一些缺點(diǎn)����,通過(guò)增加證書(shū)替換的頻率,蘋(píng)果和其他公司也使得使用加密證書(shū)的網(wǎng)站所有者和企業(yè)的管理周期變得更加復(fù)雜����。不過(guò),“公司可以依靠自動(dòng)化來(lái)協(xié)助證書(shū)的部署����,更新和生命周期管理,以減少人員開(kāi)銷(xiāo)和隨著證書(shū)更換頻率的增加而出現(xiàn)錯(cuò)誤的風(fēng)險(xiǎn)����。”例如����,Let’s Encrypt發(fā)行了免費(fèi)的HTTPS證書(shū),這些證書(shū)通常會(huì)在90天后過(guò)期����,并提供了自動(dòng)續(xù)訂的工具����,如今它們已在整個(gè)Web上使用����。
