Apple提议将SSL证书有效期缩短为45天

SSL/TLS证书的有效期一直在缩短。2017年,证书的最大有效期从1185天(约39个月)缩短到825天(约27个月),当时人们认为这是SSL证书发展中的一大转变。
而在接下来的几年里,证书的有效期还在持续缩短,现在Apple提出将SSL/TLS证书的有效期缩短至45天,说实话还挺“夸张”的。
为什么缩短证书有效期?
1:避免密钥泄露的风险
理论上,证书的生命周期越短,即使密钥泄露,恶意攻击者能利用的时间窗口也会更小,不过根本的问题还是要找到泄露的原因,比如服务器被攻击了。
2:吊销复杂度与成本
另一个经常提到的原因是,证书吊销机制的复杂性和成本较高。传统的CRL和OCSP(现在也逐步废弃了)往往被认为效率不够高,尤其是当证书泄露需要紧急吊销时,整个流程可能会很复杂。
更深层次的好处其实是算法的发展,缩短证书有效期最合理的原因是为了应对加密算法的进步。因为好的算法更安全,缩短证书有效期可以促使网站更快地采用更新、更安全的加密算法。
但实际操作起来并不容易,新算法需要时间测试,类似这样的工程大部分组织积极性可能并不高。
其实缩短有效期最不爽的是运维,将带来巨大的工作量,尤其是那些依赖手动更新证书的组织,虽然现在由ACME这样的工具自动更新,但普及度并不高,这种高频次的更新需求可能会成为其运维中的“噩梦”。
目前免费Let's Encrypt证书的有效期是90天,我觉得相对是合适的。
参考:
• https://www.theregister.com/2024/10/15/apples_security_cert_lifespan/
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- GeoTrust证书的DV/OV/EV如何区分
- 微软在Microsoft Edge中添加视频录制功能 暂不支持音频
- jiwu-mall-chat-tauri一个开源的聊天桌面应用
- 骁龙X70:畅享高速5G,连接体验更智能
- 诸子笔会2022 | 陈圣:企业远程办公安全所思所想
- 骁龙计算平台赋能的全新Windows开发套件于Microsoft Build 2022期间推出
- OpenCloudOS 开源操作系统社区成立;Azure 漏洞暴露数百个源代码存储库;AWS 遭遇本月第三次中断|开源日报
- 一起连接美好未来,2021高通技术与合作峰会即将拉开帷幕
- 招程序员不要信中医的? | 从编程的角度看中医
- 挑战安卓会死?华为鸿蒙正为国产操作系统杀出一条路 | 涛滔不绝
- 在看 | 一周网安回顾 2020.11.21~11.27
- 有免费的SSL证书吗?可以几张?