苹果Safari从2020年9月1日起不再支持有效期超过398天的HTTPS加密证书
在全球互联网由明文传输转向加密传输的时候,浏览器的开发商们正在酝酿新政策以提高加密数字证书的安全性。
这项新政策就是加密数字证书的有效期不能太长,如果有效期太长的话浏览器会拒绝认证并将其当做不安全处理。
率先决定推行该政策的是苹果的Safari浏览器,苹果已决定自2020年9月1日起不再支持有效期超过398天的证书。
普通类型(非根证书和中间证书)的数字证书以往有效期可达3年甚至5年 , 对于网站来说可以降低更换证书的麻烦。
同时对证书颁发机构来说客户购买的时间越长可以预收款项也越多,因此颁发机构和客户都愿意使用更长的证书。
然而从安全角度来说证书和私钥存在被盗的风险,如果证书和私钥被盗那么攻击者可以向用户发动中间人劫持等。
如果网站和使用者始终没有发现自己的证书已经被盗,那么对于网站的用户来说这就有可能会造成非常大的危害。
因此浏览器开发商们的态度是尽量缩短证书有效期,这样即便被盗没被发现也可以在证书到期后让其自动作废掉。
苹果给出的新政策同时覆盖 Safari for macOS和iOS版,如果网站不遵守该规定的话则苹果用户都不再支持访问。
苹果决定自2020年9月1日起所有新签发的证书有效期均不得超过398天,如果超过这个有效期Safari会拒绝连接。
当然在2020年9月1日前签发的数字证书有效期是可以超过398天的, 比如有些以前签发的825天证书可继续使用。
多数证书颁发机构都会遵守苹果的要求向用户提供新证书,到时候网站或服务提供商更换证书时可以注意下时间。
实际上最早提出缩短证书有效期提高安全性的就是谷歌,作为Chromium浏览器的开发商谷歌还是很有话语权的。
Chromium不仅在谷歌浏览器上使用,诸如微软等多个不同品牌的浏览器都是基于该内核因此市场占有率非常高。
目前谷歌倒是还没推出具体的政策时间不过限制有效期也是板上钉钉的,这对于整个行业来说都是有巨大影响的。
火狐这边暂时也没发布具体的时间不过谋智基金会推出的免费证书项目Let’s Encrypt 自上线就只提供3个月证书。
所有证书有效期都只有三个月可以极大地提高安全性,借助自动化部署工具可以自动完成证书签发续期和更换等。