GlobalSign 新闻中心

25 2020

苹果公司单方面要求一年SSL证书有效期限制

几个月前,业界就SSL / TLS证书的理想有效长度进行了争论。 这场争论相当激烈,最终以证书颁发机构投票否决Google的选票,以将最高有效期减少到CAB论坛上的一年而结束。
上周,在Bratislava, Slovakia的面对面CAB论坛会议上,苹果公司宣布打算将SSL / TLS有效期限制为仅398天(一年,加上大约一个月,以更好地促进续签)。
这里有一些需要解决的问题,我们认为从个人的角度进行讨论将是有益的,因为这对更广泛的商业社区来说是有意义的。


您不需要替换SSL / TLS证书

该决定的影响要到202091日才对消费者产生影响。届时,颁发的任何SSL / TLS证书的有效期均不得超过398天–否则将遭到苹果Mac OSiOS系统的信任,这意味着所有Safari用户。此外,鉴于其先前表示的降低证书有效性的愿望,GoogleMozilla也会进行此更改,并可能遵守相同的截止日期。
对于您来说,这意味着从91日起,如果您希望网站对Apple用户有效,则实际上没有两年证书选项。您还需要比过去更频繁地更换或轮换证书。
值得一提的是-您无需做的就是争先恐后地在91日之前获得新证书。今天有效签发的SSL / TLS证书将一直有效,直到到期为止。续订后,您需要转到一年证书。
因此,请不要介意告诉您立即更换证书的任何人。


然后是一年

浏览器长期以来一直表示,他们希望公共信任证书的有效期较短。 从理论上讲,更短的证书有效性意味着可以提高安全性,既可以减少遭受私钥泄露威胁的风险,又可以在SSL身份更改(例如组织名称,地址和域名)发生时更频繁地进行身份验证。
请记住,这些浏览器的首要目标是保护用户。 滥用公共信任证书可能会构成严重威胁。 请记住,在某一时刻,最长有效期为五年。 然后三年。 然后两年。 现在一年。 最终它可以减少到90天,甚至可能减少30天,但是这种减少几乎完全是由浏览器驱动的。


为什么以前的CAB论坛投票失败?

上一次投票主要是由于时间安排而失败。 GlobalSign与其他几个CA一起直接向其客户寻求了反馈。 由于许多不同的因素,人们并没有要求缩短有效性。
Google
投票希望在41日之前实施更改,距离投票之日还不到六个月,而时间还不够。 因此,要求将日期定为将来的12-18个月,以便每个人都有足够的时间为更改做准备。
看来苹果公司决定将差异化,并计划在9月推出。


GlobalSign在短证书有效期内的立场是什么?

GlobalSign,我们将客户和合作伙伴放在首位–这是我们做出的每一个决定的情况。同时,我们积极寻求改进互联网,使其成为社交和开展业务更安全的场所。
较短的有效性可能对安全性更好,尽管浏览器未提供安全问题的具体列表以及使用两年证书的严重性。通过对两年期漏洞进行适当的安全分析并为这些更改提供更合理的时间表,GlobalSign将支持将其转换为一年期证书。但是,尽管浏览器的特定重点与他们的工作密切相关,但作为证书颁发机构,我们也有一个重点。而且,我们需要确保我们的客户处于这种变化的最佳位置。因此,GlobalSign准备与希望精简和改进其证书生命周期管理的任何组织紧密合作,以更好地与传入的浏览器授权保持一致。
在过去的15年中,GlobalSign一直是PKI领域的领导者,尽管采用了这种非常规的方式,但我们仍计划继续引导Web朝着更高的自动化和更敏捷的证书管理解决方案发展。如果您有任何疑问或想了解我们如何使您更频繁地进行证书轮换,请与我们联系。

该英文链接如下:https://www.globalsign.com/en/blog/apple-mandates-one-year-ssl-certificate-validity-limit

返回 GlobalSign 新闻中心