SSL/TLS加密協(xié)議是目前互聯(lián)網(wǎng)上最重要的基礎(chǔ)設(shè)施之一 , 若沒有數(shù)據(jù)加密的話或許互聯(lián)網(wǎng)的發(fā)展也不會這么快。數(shù)據(jù)加密目前最常見的就是HTTPS傳輸層安全協(xié)議,通過SSL/TLS數(shù)字證書確保使用者與發(fā)送者的信息不被竊取。
數(shù)字證書最初有效期長達(dá)10年,不過在過去10年里數(shù)字證書的有效期已經(jīng)被大幅縮短 , 從8年降到5年再到2年等。
而從2020年9月1日起數(shù)字證書的有效期最長只能398天(13個月) , 為什么數(shù)字證書的有效期會被不斷地進(jìn)行縮短?
新簽發(fā)證書有效期最長398天:
按頒發(fā)機(jī)構(gòu)/瀏覽器論壇討論后的最新規(guī)定 , 從 9月1日 起新簽發(fā)的數(shù)字證書有效期最長不得超過398天即13個月。
如果證書起始日期超過這個規(guī)定的話則瀏覽器不會信任,瀏覽器不信任的結(jié)果就是直接拒絕網(wǎng)頁加載無法瀏覽等。
例如超過日期的證書在谷歌瀏覽器上顯示ERR_CERT_VALIDITY_TOO_LONG 錯誤,這說明證書有效期超過限制。
谷歌瀏覽器將這種錯誤視為是證書簽發(fā)錯誤即無效的數(shù)字證書,當(dāng)然谷歌瀏覽器也會拒絕加載不允許用戶瀏覽等。
每次頒發(fā)機(jī)構(gòu)和瀏覽器論壇討論降低證書有效期都是基于安全考慮的,實際上這些多數(shù)都是瀏覽器開發(fā)商提出的。
就目前來說瀏覽器開發(fā)商們更強(qiáng)勢因此證書頒發(fā)機(jī)構(gòu)基本只能聽著,頒發(fā)機(jī)構(gòu)們其實更希望能夠簽發(fā)更長的證書。
證書時間長短與安全性有何關(guān)系:
頒發(fā)機(jī)構(gòu)們希望簽發(fā)更長的證書是因為可以一次性收更多的費(fèi)用,畢竟如果是一年的話到期客戶不一定繼續(xù)續(xù)費(fèi)。
但瀏覽器開發(fā)商們擔(dān)心數(shù)字證書遭到泄露和濫用,如果證書公鑰和私鑰泄露的話可能會造成釣魚欺詐等網(wǎng)絡(luò)攻擊。
如果將證書有效期縮短的話那么證書泄露后到期就會過期無法使用,如果是十年的證書那十年才過期實在太長了。
當(dāng)然證書有效期縮短意味著網(wǎng)站維護(hù)者需要更頻繁的更換證書,事實上現(xiàn)在每年都有因為證書過期導(dǎo)致的宕機(jī)等。
比如Microsoft Teams前段時間就因為忘記續(xù)期證書導(dǎo)致大量用戶無法登錄,光大銀行網(wǎng)銀前幾天也過期忘記換。
善用證書吊銷工具會更好:
比起縮短證書有效期其實更重要的是善用吊銷工具,通常發(fā)現(xiàn)證書泄露后應(yīng)該立即聯(lián)系頒發(fā)機(jī)構(gòu)對證書進(jìn)行吊銷。
吊銷后所有瀏覽器和操作系統(tǒng)只要聯(lián)網(wǎng)就會立即不信任被吊銷的證書,這種情況比證書泄露后慢慢等過期更好些。
當(dāng)然前提是你得知道自己的證書泄露才能去吊銷,可能更多的是證書被盜仍然不知情于是也不太可能去主動吊銷。
此前國內(nèi)就有家知名公司被人冒名刻章申請數(shù)字證書,申請的數(shù)字證書用來簽發(fā)惡意軟件和病毒進(jìn)行網(wǎng)絡(luò)攻擊等。
因此除縮短證書時間、加強(qiáng)證書安全保護(hù)和善用吊銷工具外,對證書頒發(fā)機(jī)構(gòu)本身也需要加強(qiáng)監(jiān)管才能安全無虞。
