本月,GlobalSign 为您带来又一期信息丰富的 Trust.ID Talk 播客,“CA/B 论坛内部 - 影响互联网信任的力量”。为了阐明这一主题的关键方面,主持人米歇尔·戴维森邀请到了 GlobalSign 信息安全官阿尔维德·维尔莫特。作为证书授权机构/浏览器论坛(CA/B 论坛)的关键贡献者,阿尔维德提供了关于该论坛所做工作的见解、决策的形成方式以及这对任何依赖数字证书和公钥基础设施(PKI)的人们为何重要。
如果你曾经想知道是谁为数字证书设定规则,这种无形的安全网络流量支柱,你并不孤单。CA/B论坛可能不是一个家喻户晓的名字,但它的决策在互联网上产生回响,塑造了信任是如何建立、维护和保障的。
什么是证书颁发机构/浏览器(CA/B)论坛?
把CA/B论坛视为一个全球圆桌会议,其中Chrome、Apple、Mozilla等浏览器与Cisco等科技领袖坐在一起,与包括GlobalSign、Sectigo等在内的证书颁发机构(CA)进行交流。在过去的20年里,这个小组一直在默默制定使安全浏览成为可能的标准。他们的使命是什么?创建和完善支撑PKI的技术规则,PKI是一个用于验证网站、加密数据和保护用户的系统。
这是怎么工作的?
论坛每年举行三次面对面会议,地点在南半球、欧洲以及最后在十月份的美洲之间轮换。在此期间,成员每周和/或每两周召开一次虚拟会议,并分成专门的工作组,专注于服务器证书、代码签名、验证等领域。
会员资格并不向任何人开放。CA 必须满足严格的审计和操作要求才能加入。一旦加入,成员提出更改——称为投票草案——这些草案在投票前需要得到两个支持。如果一项投票草案通过,它将成为正式要求的一部分。CA 必须遵守,否则将面临失去浏览器信任的风险,这对他们的业务来说可能是灾难性的。
为什么47天有效期的改变很重要
近年来最具颠覆性的变革之一,是将 SSL/TLS证书有效期从398天缩短至2029年仅剩47天的决策。该提案最初由谷歌提出,目标有效期为90天,而苹果随后以47天的提案加速了行业讨论进程。
推动缩短寿命的主要原因有两个:
- 安全性 - 更短的有效期意味着被泄露的密钥有更少的时间被利用。
- 敏捷性 - 组织必须加快证书轮换速度,这历来是其薄弱环节。即便发生安全漏洞时,许多团队仍反应迟缓,导致用户暴露在风险中。
“更短的有效期迫使证书使用者提升敏捷性,过去十到二十年来,这始终是整个公钥基础设施生态系统面临的核心威胁之一。” – Arvid Vermote
PKI治理格局的演变
敏捷性不仅在于加快证书轮换速度,更在于为后量子时代做好准备。专家预测,RSA加密技术可能在5至10年内被攻破。尽管目前尚未有后量子密码学(PQC)算法获得公开发行的认可,但一旦有算法获批,组织机构就需要立即转向采用。
正因如此,混合式PKI模型——即企业同时依赖公共与私有信任链的模式——正逐渐失去可行性。随着标准快速演进,许多企业正回归公共信任模型来管理关键证书,并将内部PKI外包给可信赖的供应商。
现在投资敏捷性,意味着将来少些烦恼。这不仅是技术层面的转变,更是战略层面的调整。
PKI的未来发展方向是什么?
人工智能正在深刻改变安全格局。虽然它不会从根本上改变公钥基础设施的核心运作方式,但正在加速两大变革进程。
首先,人们对RSA算法被攻破的担忧日益加剧。人工智能可能为研究人员提供更高效破解RSA加密的新工具,这将加速推动量子安全的密码学发展进程。
其次,我们正见证身份验证自动化进程的稳步推进。诸如扫描护照或通过公证处核实文件等曾需人工操作的任务,如今越来越多地由人工智能承担。这种转变使得高可信度证书的签发更加快捷高效,同时确保了信任度的维持。
CA/B论坛不仅是一个政策制定机构,更是推动变革的催化剂。其决策正引领互联网迈向更敏捷、更安全且具备量子就绪能力的未来。对于IT领导者和安全团队而言,信息已然明晰:敏捷性不再是可选项,而是新的基准线。
