苹果公司最近提出了一项计划,将SSL/TLS安全证书的有效期从目前的398天缩短至2027年的仅45天。这项提议在系统管理员社区引发了强烈反响,许多人认为这将给他们带来巨大的工作负担。
当前情况与变化
目前,SSL/TLS证书的有效期最长为398天。然而,根据苹果的提议,这一期限将在未来几年内逐步缩短:
- 2025年9月后:最大有效期缩短至200天
- 2026年9月后:最大有效期进一步缩短至100天
- 2027年4月后:最终缩短至45天
此外,域控制验证(DCV)的有效期也将从目前的398天逐步减少至2027年9月后的10天。
行业背景
近年来,证书的有效期一直在逐渐缩短,以提高互联网安全性。2011年之前,证书的有效期可以长达约八年,而到了2020年,这一期限已缩短至大约13个月。谷歌也计划将Chrome浏览器中证书的最大有效期减少到90天,这与苹果的提议方向一致。
系统管理员的反应
许多系统管理员对苹果的提议表示担忧。一位在Reddit上发表意见的管理员表示:“这会很糟糕。我最不喜欢的供应商为我们管理大约10个网站,每次我们都必须手动提供证书。在实时和测试之间,这真的很糟糕。”
另一位管理员补充说:“我有一些需要SSL证书的网络设备无法自动化。其中一些设备只能与仅支持公共CA的系统一起工作。” 这些设备的管理将成为一个巨大的挑战。
安全与管理的权衡
虽然较短的有效期总体上被认为可以提高互联网安全性——较长的证书期限意味着犯罪分子有更多时间利用漏洞和旧网站证书——但这无疑增加了系统管理员的工作负担。每次证书到期都需要手动更新或自动化管理,这在某些情况下是不可能实现的。
解决方案
一些证书提供商建议通过自动化来管理这些频繁的证书更新。Sectigo的首席合规官Tim Callan表示:“自动化证书生命周期管理将成为企业未来的常态。” 然而,这种方法并不适用于所有情况,特别是那些无法支持自动化的老旧设备。
行业动态
苹果的提议将在接下来的几个月内由认证机构浏览器论坛(CA/B论坛)成员投票表决。即使该提议未通过,谷歌和苹果也可能单方面实施类似的政策。这将对整个互联网生态系统产生深远影响。
0条评论