三大浏览器近年推动将支持HTTPS凭证的有效期缩短为13个月。而在苹果Safari今年2月首先发难后,Google和Mozilla也在本周宣布今年9月1日起不再支持有效期超过398天的HTTPS凭证。
凭证机构浏览器论坛(Certification Authority Browser Forum,CA/Browser)主席Dean Coclin本月中首先宣布Chrome将加入苹果的行动,把公开TLS凭证的有效期限缩到398天,时间点从9月1日开始。而Mozilla也在5月的CA/Browser论坛上做出相同的宣布,两者也都是在众多凭证发布机构(Certificate Authority,CA)的反对下做出决定。
事实上,Google去年就已经在CA/Browser论坛上提案缩短支持的TLS凭证有效期到13个月,并且获得Mozilla的支持。而今年2月苹果更是在未经和CA企业的讨论下片面宣布这项政策。
自9月1日起,Safari、Chrome、Firefox三大浏览器不再接受凭证有效期超过398天的新网站凭证。即使网站管理员可以买到有效期2年或更久的凭证,都会被手机、平板及PC上的这些浏览器标示为不安全。
但是今年9月1日之后,网站仍然能使用之前取得的有效期2年(27个月)的凭证。因此,网站管理员最好在8月31日前更新取得2年有效期的凭证。
CA/B Forum是凭证机构(CA)与浏览器企业、软件公司、CA参加的业界论坛,但是近年关于凭证有效期已渐渐由浏览器厂商取得决定主导权。事实上,过去10年来,浏览器企业已经将凭证有效期由最早的8年渐次缩短为5年、39个月及现行的27个月。
缩短凭证有效期的坏处是网站管理员负担变大,可能凭证不小心就过期,对CA来说也增加作业。但好处是更为安全;凭证轮替的次数更频繁,技术也更新,若凭证出现漏洞,可以借由经常更新凭证降低网站被黑的机会。