SSL/TLS加密協(xié)議是目前互聯(lián)網(wǎng)上最重要的基礎(chǔ)設(shè)施之一 , 若沒有數(shù)據(jù)加密的話或許互聯(lián)網(wǎng)的發(fā)展也不會(huì)這么快。數(shù)據(jù)加密目前最常見的就是HTTPS傳輸層安全協(xié)議,通過(guò)SSL/TLS數(shù)字證書確保使用者與發(fā)送者的信息不被竊取。
數(shù)字證書最初有效期長(zhǎng)達(dá)10年,不過(guò)在過(guò)去10年里數(shù)字證書的有效期已經(jīng)被大幅縮短 , 從8年降到5年再到2年等。
而從2020年9月1日起數(shù)字證書的有效期最長(zhǎng)只能398天(13個(gè)月) , 為什么數(shù)字證書的有效期會(huì)被不斷地進(jìn)行縮短?
新簽發(fā)證書有效期最長(zhǎng)398天:
按頒發(fā)機(jī)構(gòu)/瀏覽器論壇討論后的最新規(guī)定 , 從 9月1日 起新簽發(fā)的數(shù)字證書有效期最長(zhǎng)不得超過(guò)398天即13個(gè)月。
如果證書起始日期超過(guò)這個(gè)規(guī)定的話則瀏覽器不會(huì)信任,瀏覽器不信任的結(jié)果就是直接拒絕網(wǎng)頁(yè)加載無(wú)法瀏覽等。
例如超過(guò)日期的證書在谷歌瀏覽器上顯示ERR_CERT_VALIDITY_TOO_LONG 錯(cuò)誤,這說(shuō)明證書有效期超過(guò)限制。
谷歌瀏覽器將這種錯(cuò)誤視為是證書簽發(fā)錯(cuò)誤即無(wú)效的數(shù)字證書,當(dāng)然谷歌瀏覽器也會(huì)拒絕加載不允許用戶瀏覽等。
每次頒發(fā)機(jī)構(gòu)和瀏覽器論壇討論降低證書有效期都是基于安全考慮的,實(shí)際上這些多數(shù)都是瀏覽器開發(fā)商提出的。
就目前來(lái)說(shuō)瀏覽器開發(fā)商們更強(qiáng)勢(shì)因此證書頒發(fā)機(jī)構(gòu)基本只能聽著,頒發(fā)機(jī)構(gòu)們其實(shí)更希望能夠簽發(fā)更長(zhǎng)的證書。
證書時(shí)間長(zhǎng)短與安全性有何關(guān)系:
頒發(fā)機(jī)構(gòu)們希望簽發(fā)更長(zhǎng)的證書是因?yàn)榭梢砸淮涡允崭嗟馁M(fèi)用,畢竟如果是一年的話到期客戶不一定繼續(xù)續(xù)費(fèi)。
但瀏覽器開發(fā)商們擔(dān)心數(shù)字證書遭到泄露和濫用,如果證書公鑰和私鑰泄露的話可能會(huì)造成釣魚欺詐等網(wǎng)絡(luò)攻擊。
如果將證書有效期縮短的話那么證書泄露后到期就會(huì)過(guò)期無(wú)法使用,如果是十年的證書那十年才過(guò)期實(shí)在太長(zhǎng)了。
當(dāng)然證書有效期縮短意味著網(wǎng)站維護(hù)者需要更頻繁的更換證書,事實(shí)上現(xiàn)在每年都有因?yàn)樽C書過(guò)期導(dǎo)致的宕機(jī)等。
比如Microsoft Teams前段時(shí)間就因?yàn)橥浝m(xù)期證書導(dǎo)致大量用戶無(wú)法登錄,光大銀行網(wǎng)銀前幾天也過(guò)期忘記換。
善用證書吊銷工具會(huì)更好:
比起縮短證書有效期其實(shí)更重要的是善用吊銷工具,通常發(fā)現(xiàn)證書泄露后應(yīng)該立即聯(lián)系頒發(fā)機(jī)構(gòu)對(duì)證書進(jìn)行吊銷。
吊銷后所有瀏覽器和操作系統(tǒng)只要聯(lián)網(wǎng)就會(huì)立即不信任被吊銷的證書,這種情況比證書泄露后慢慢等過(guò)期更好些。
當(dāng)然前提是你得知道自己的證書泄露才能去吊銷,可能更多的是證書被盜仍然不知情于是也不太可能去主動(dòng)吊銷。
此前國(guó)內(nèi)就有家知名公司被人冒名刻章申請(qǐng)數(shù)字證書,申請(qǐng)的數(shù)字證書用來(lái)簽發(fā)惡意軟件和病毒進(jìn)行網(wǎng)絡(luò)攻擊等。
因此除縮短證書時(shí)間、加強(qiáng)證書安全保護(hù)和善用吊銷工具外,對(duì)證書頒發(fā)機(jī)構(gòu)本身也需要加強(qiáng)監(jiān)管才能安全無(wú)虞。
