首页 > 科技资讯 > 苹果强势逼迫整个CA行业进入一年的证书寿命期
苹果公司在2020年2月单方面做出的一项决定在浏览器领域引起了反响,并有效地强势逼迫证书颁发机构行业接受TLS证书398天的新默认寿命。继苹果最初宣布之后,Mozilla和谷歌也表示了类似的意向,将在其浏览器中实施同样的规则。

访问:

阿里云年中大促 点击领取最高12000元红包

天翼云年中上云节 云主机1C2G 92元/年 实名注册送8888元大礼包

访问:

苹果在线商店(中国)

从2020年9月1日开始,苹果、谷歌和Mozilla的浏览器和设备将对有效期超过398天的新TLS证书显示错误。此举是一个重要的举措,因为它不仅改变了互联网的一个核心部分--TLS证书的工作方式,还因为它打破了正常的行业惯例以及浏览器和CA/B论坛的合作。

CA/B论坛,这是一个非正式的组织,由证书颁发机构(CA)、发行用于支持HTTPS流量的TLS证书的公司和浏览器制造商组成。自2005年以来,这个小组一直在制定TLS证书的发行规则,以及浏览器应该如何管理和验证它们。浏览器和CA通常会对即将出台的规则进行讨论,直到他们达成共识,然后他们通过规则,所有成员都会执行。

然而,在其15年的历史中,有一个话题每次被提起都会引起人们的关注,那就是TLS证书的寿命。TLS的寿命从8年开始,经过多年的发展,浏览器厂商对其进行了削足适履,将其降低到5年,然后是3年,再到2年。上一次变化发生在2018年3月,当时浏览器制造商试图将SSL证书寿命从三年减少到一年,但在CA的积极反击下妥协了两年。

但几乎没有一年的时间,他们就把TLS寿命从三年降到了两年,浏览器制造商又尝试了一次,这让CA们大失所望,当时他们认为自己达成了妥协,把这件事给解决了。正如ZDNet去年夏天所报道的那样,浏览器厂商再次尝试将TLS证书的寿命从两年降到一年。在2019年9月,由谷歌召集的这项提案的投票失败了。虽然该提案获得了浏览器厂商100%的支持,但只有35%的CA投票批准了一年的TLS证书寿命。

但在2月份,苹果打破了CA/B论坛的标准操作程序。苹果没有要求投票,而是简单地宣布决定在其设备上实施398天的寿命,而不管CA/B论坛的CA们对这个问题有什么看法。两周后,Mozilla也宣布了同样的消息,本月初,谷歌也跟进宣布了类似的消息。今年发生的事情,简单点说,就是表明浏览器厂商控制了CA/B论坛,他们完全控制了HTTPS生态系统,而CA只是参与者,没有实际权力。

lock-final-jpg.jpg

阅读原文