苹果于上周宣布,自9月1日起,Safari浏览器将不再接受凭证有效期超过398天的新网站凭证。
苹果是在凭证机构浏览器论坛(Certification Authority Browser Forum,CA/Browser)大会上宣布这项新政策,而由The Register首先报道。CA/B Forum是凭证机构(CA)与浏览器企业、软件公司参加的业界论坛,在新政策下,新网站若包含有效期超过13个月的凭证将被Safari、以及在iPhone、iPad及Mac计算机上视为不安全。但是Safari仍然会接受9月1日以前发出,即有效期825天的SSL/TLS凭证。
其实这在SSL凭证界已经是讨论已久的话题。凭证有效期过长,可能发生凭证有安全漏洞时,网站未能及时更新而给了网络罪犯可乘之机,例如2015年赛门铁克误发上百个Google.com的延伸验证(EV)凭证,恶意网站可能冒充Google域名下的合法网站。缩短SSL/TLS凭证有效期可加速新的、更安全的凭证部署,进而降低网站用户风险。但是另一方面,也有人批评频繁更新,将增加网站管理员的作业负担以及成本。
一些免费凭证供应商如Let’s Encypt,其凭证90天后便到期,但可经由该公司提供的工作自动更新。
过去10年来,浏览器企业已经将SSL凭证有效期,由最早的8年、砍成5年、39个月,去年3月再缩减到现行的27个月有效期。
苹果并非唯一鼓吹再缩短凭证有效期的浏览器厂商。Google和Mozilla去年6月提案从2020年3月1日起,将SSL凭证有效期,由现在的825天缩减为397天,并将交付大会表决,不过迄今似乎尚无结果。