包括苹果、Google及Mozilla都已宣布,自今年的9月1日起,旗下的浏览器都将只接受最长期限为398天的TLS/SSL新凭证,由于它并不影响9月1日前申请的凭证,因此,若要申请长达825天的TLS/SSL凭证,今天也许还来得及。
TLS/SSL凭证有效期从最早的8年、5年、39个月,一直缩短到现在的825天,主要是因为浏览器企业担心加密算法的安全漏洞会影响凭证的安全性;新规定可迫使网站提前更新凭证,降低凭证被窃的风险;有时凭证的有有效期限甚至超过网站的存活时间。
当用户以浏览器访问这些使用过期凭证的网站时,无效的凭证会中断HTTPS连接,并出现错误消息。值得注意的是,如果是在9月1日以前颁发的凭证,就算该凭证的有有效期限超过398天,并不会受到该变更的影响。
苹果、Google及Mozilla的决定促成凭证授权机构准备配合该政策,因此它们自9月1日起都只会颁发有效期最多长达398天的TLS/SSL凭证,其实有些凭证授权机构已提前遵循政策,终止825天TLS/SSL凭证的颁发,但有些仍开放置最后一天,因此,想要期限更长凭证的网站,应把握时间。
凭证有有效期限的持续缩短让不少网站因为忘了更新凭证而停摆,今年以来的知名例子就有Microsoft Teams及Spotify,外界则建议企业应该部署凭证管理工具来避免类似的事件再度发生。