谷歌希望将SSL证书的生命周期(用于保护HTTPS加密流量)从目前的两年缩短到一年多。
该提案由Google代表Ryan Sleevi 于6月在希腊塞萨洛尼基举行的CA / B论坛F2F会议上提出。
CA / B论坛是一个非官方的行业组织,由证书颁发机构(CA,发布SSL证书的公司)和浏览器制造商组成。
尚未举行投票
根据Per Sleevi的提议,从2020年3月开始,所有新颁发的SSL证书的生命周期将变为397天(大约一年零一个月),而不是当前的825天(大约两年零三个月)。
没有对该提案进行投票; 但是,大多数浏览器供应商都表示支持新的SSL证书生命周期。
另一方面,至少可以说,证书颁发机构并不太高兴。在过去的十五年中,浏览器制造商已经在SSL证书的生命周期中削减了数量,将其从8年减少到5年,然后减少到3年,然后减少到2年。
最后一次更改发生在2018年3月,当时浏览器制造商试图将SSL证书寿命从三年减少到一年,但在证书颁发机构推迟后两年内遭到破坏。
现在,在最后一次更改后不到两年,证书当局感到欺负浏览器制造商接受他们的原始计划,无论2018年投票如何。
DIGICERT推回去了
DigiCert在CA / B论坛的代表Timothy Hollebeek最近写了一篇博客文章,表达了公司对新提案的立场,不出所料,该提案不赞成谷歌的计划。
Hollebeek说:“那么提出的安全效益是什么证明了这一成本呢?目前还不清楚是否存在任何问题。”
“这种变化对恶意网站完全没有影响,恶意网站的运行时间非常短,最多只有几天到一周或两周。之后,该域名已被添加到各种黑名单中,攻击者转移到新域名并获得新证书。“
DigiCert执行官解释说,相反,这种对更短SSL证书生命周期的更改将为其客户(SSL证书的用户/购买者)带来更多成本,现在必须分配更多人力资源以使SSL证书保持最新或进行更新一个到期时的维护更新。
此外,Hollebeek还认为,“更短的终身证书允许在合规规则发生变化时更快地转换”也不是一个好理由,因为标准不应该首先经常改变。
“SSL撤销”问题
但是在一篇反对Hollebeck博客文章的Twitter帖子中,安全研究员Scott Helme认为,较短的SSL证书生命周期的安全优势与网络钓鱼或恶意软件网站无关,而是与SSL证书撤销过程无关。
Helme声称这个过程被破坏,并且错误的SSL证书在被丢失和撤销后继续存在多年 - 因此他在2018年初认为SSL证书的寿命缩短可以解决这个问题,因为错误的SSL证书将被更快地逐步淘汰。
与DigiCert更具侵略性的逆势立场相比,市场上最大的证书机构Sectigo(前身为Comodo)对这一变化采取了更积极的态度。该公司利用潜在变革的机会突出其自动化SSL证书续订的工具,而不是与浏览器制造商展开公开斗争。
浏览器制定规则
CA和浏览器制造商之间的斗争多年来一直在阴影中发生。正如专门针对HTTPS相关新闻的博客HashedOut所指出的,这个提议更多的是关于证明谁控制HTTPS环境而不是一切。
“如果CA对这一措施进行投票,那么浏览器就有可能单方面采取行动,并且无论如何都只是强迫改变,” HashedOut说道。“这不是没有先例,但它也从未发生在传统上像这样合议的问题上。
“如果确实如此,那么询问CA / B论坛的重点是否公平也是公平的。因为在那时,浏览器基本上都是通过法令来裁决,而整个练习只是一场闹剧。”
与此同时,DigiCert正在对其客户进行匿名调查,以了解缩短的为期一年的SSL证书生命周期将如何影响他们的活动。如果客户抱怨 - 并且您可以确定 - 那么DigiCert很可能会使用调查结果来推动Google的提案。