这年头啊,也只有苹果这位老大哥可以大头搞安全。逼迫整个CA行业进入一年的证书寿命期!

早在今年2月份,苹果公司就单方面做出了一项影响整个浏览器行业的决定,强势并有效地逼迫证书颁发机构行业接受TLS证书398天的新默认寿命。其实谷歌和Mozilla 也早有此意,但无论你占领多少浏览器市场份额,没有苹果的带头,这事还真难落实。所以继苹果最初宣布之后,Mozilla和谷歌也表示了类似的意向,将在其浏览器中实施同样的规则。

这年头啊,也只有苹果这位老大哥可以大头搞安全。逼迫整个CA行业进入一年的证书寿命期!插图

从2020年9月1日开始,苹果、谷歌和Mozilla的浏览器和设备将对有效期超过398天的新TLS证书显示错误。此举是一个重要的举措,因为它不仅改变了互联网的一个核心部分–TLS证书的工作方式,还因为它打破了正常的行业惯例以及浏览器和CA/B论坛的合作。

CA/B论坛,这是一个非正式的组织,由证书颁发机构(CA)、发行用于支持HTTPS流量的TLS证书的公司和浏览器制造商组成。自2005年以来,这个小组一直在制定TLS证书的发行规则,以及浏览器应该如何管理和验证它们。浏览器和CA通常会对即将出台的规则进行讨论,直到他们达成共识,然后他们通过规则,所有成员都会执行。

然而,在其15年的历史中,有一个话题每次被提起都会引起人们的关注,那就是TLS证书的寿命。TLS的寿命从8年开始,经过多年的发展,浏览器厂商对其进行了削足适履,将其降低到5年,然后是3年,再到2年。上一次变化发生在2018年3月,当时浏览器制造商试图将SSL证书寿命从三年减少到一年,但在CA的积极反击下妥协了两年。

但几乎没有一年的时间,他们就把TLS寿命从三年降到了两年,浏览器制造商又尝试了一次,这让CA们大失所望,当时他们认为自己达成了妥协,把这件事给解决了。正如ZDNet去年夏天所报道的那样,浏览器厂商再次尝试将TLS证书的寿命从两年降到一年。在2019年9月,由谷歌召集的这项提案的投票失败了。虽然该提案获得了浏览器厂商100%的支持,但只有35%的CA投票批准了一年的TLS证书寿命。

但在2月份,苹果打破了CA/B论坛的标准操作程序。苹果没有要求投票,而是简单地宣布决定在其设备上实施398天的寿命,而不管CA/B论坛的CA们对这个问题有什么看法。两周后,Mozilla也宣布了同样的消息,本月初,谷歌也跟进宣布了类似的消息。今年发生的事情,简单点说,就是表明浏览器厂商控制了CA/B论坛,他们完全控制了HTTPS生态系统,而CA只是参与者,没有实际权力。

人已赞赏
技术宅

iOS14一出,某些apps厂商又要痛很苹果了~iOS14的剪切板提醒简直不给他们第二条活路!

2020-6-30 7:52:14

技术宅

苹果今年的WWDC20线上会议又一次成为了新标杆,友商大概已经在借鉴的路上了~

2020-7-1 5:20:22

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索