由Web浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体CA/Browser Forum,正在考虑将HTTPS证书的有效期从27个月缩短到13个月。
关于这样的提案,已经不是第一次提出。在2017年时,CA/Browser Forum就否决了一项将证书有效期从39个月缩短至13个月的提案。
我们都知道,HTTPS证书用于加密浏览器和站点之间的连接,帮助软件确定没有人篡改或窃听这些连接。
如果减少TLS/SSL证书有效的时间,网站必须更频繁地更新其证书。理论上,这样的证书有效期也有助于减少欺诈活动,如果是偷来的证书则很快会失效,被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书,而不是使用不安全算法的老化证书。
不过,本周一时,DigiCert的Timothy Hollebeek却反对将证书有效期缩短至13个月,他认为,缩短证书寿命确实带来的好处,但意味着要有更好的方法来确保证书是最新的和安全的,同时也存在一些麻烦,企业不得不每年续签一次付费证书,并且增加其成本。
换句话说,减少有效期可能会促使企业免费使用Let's Encrypt TLS/SSL,就不会向Digicert这样的机构支付费用。Let's Encrypt可以免费发放90天的HTTPS证书,使用提供的软件客户端来自动更新和部署证书,而由于几乎所有浏览器和操作系统都支持Let's Encrypt TLS/SSL证书,导致该服务正给向HTTPS证书收费的证书颁发机构带来巨大压力。
Hollebeek称:
该提案于今年早些时候在谷歌员工Ryan Sleevi的一次会议上提出,目前仍处于草案阶段,还没有关于何时进行表决的消息。