谷歌希望將SSL證書(用於保護HTTPS加密流量)的使用壽命從目前的兩年縮短到一年多一點。
這項提議是由谷歌代表瑞安·斯萊維(RyanSleevi)於6月在希臘塞薩洛尼基(Thessaloniki)舉行的CA/B論壇的一次F2F會議上提出的。
CA/B論壇是一個非正式的行業組織,由證書頒發機構(CA;頒發SSL證書的公司)和瀏覽器製造商組成。
還沒有投票
根據Sleevi的建議,從2020年3月開始,所有新發行的SSL證書的壽命將變爲397天(大約一年一個月),而不是目前的825天(大約兩年三個月)。
沒有對該提議進行投票;但是,大多數瀏覽器供應商表示支持新的SSL證書壽命。
另一方面,證書頒發機構也不太高興,至少可以這麼說。在過去的十年半里,瀏覽器製造商已經在縮短SSL證書的使用壽命,將其從8年縮短到5年,然後縮短到3年,最後縮短到2年。
上一次更改發生在2018年3月,當時瀏覽器製造商試圖將SSL證書的使用壽命從三年縮短爲一年,但在證書權威機構的回擊後,卻妥協了兩年。
現在,就在最近一次修改的兩年之後,證書頒發機構感覺受到瀏覽器製造商的欺負,不管2018年的投票結果如何,都要接受他們最初的計劃。
Digicert推回
Digicert在CA/B論壇的代表Timothy Hollebeek最近寫了一篇博客,表達了公司對這項新提議的立場,毫不奇怪,這並不支持谷歌的計劃。
“那麼,提議的安全利益是什麼來證明這一成本的合理性呢?目前還不清楚到底有什麼,”霍利貝克說。
“這一變化對惡意網站絕對沒有影響,惡意網站的運行時間非常短,從幾天到最多一兩週不等。之後,域被添加到各種黑名單中,攻擊者將進入新域並獲取新證書。”
Digicert Exec解釋說,改爲縮短SSL證書的使用壽命,將爲其客戶(SSL證書的用戶/購買者)帶來更多的成本,這些客戶現在必須分配更多的人力資源,以使SSL證書保持最新,或在啓用時執行維護更新。
此外,Hollebeek還認爲,“更短的使用壽命證書允許在合規性規則改變時更快地進行轉換”也是一個不好的原因,因爲標準一開始不應該如此頻繁地改變。
“SSL撤銷”問題
但是在一個迴應Hollebeck博客帖子的twitter線程中,安全研究人員Scott Helme認爲,較短的ssl證書壽命帶來的安全好處與網絡釣魚或惡意軟件站點無關,而是與ssl證書撤銷過程有關。
Helme聲稱,這一過程被破壞,不良的SSL證書在被拒絕和撤銷後繼續存在數年——因此,他在2018年初提出,縮短SSL證書的使用壽命可以解決這個問題,因爲不良的SSL證書將被淘汰的更快。
市場上最大的證書頒發機構Sectigo(前身爲Comodo)對這一變化採取了更積極的態度,而Digicert則採取了更具侵略性的逆向立場。該公司利用這一潛在變化的機會,強調其用於自動更新SSL證書的工具,而不是與瀏覽器製造商進行公開競爭。
瀏覽器制定規則
中科院和瀏覽器製造商之間的這場鬥爭多年來一直在暗處發生。正如一個致力於https相關新聞的博客hashedout所指出的那樣,這個建議更多的是證明誰控制了https環境,而不是一切。
哈希杜特說:“如果中科院投票否決這項措施,瀏覽器就有可能單方面採取行動,無論如何都會強行改變。”這並非沒有先例,但它也從來沒有發生在一個傳統上像這樣具有學院性質的問題上。
“如果是這樣,詢問CA/B論壇的意義就變得公平了。因爲在那時,瀏覽器基本上是由法令來統治的,而整個過程只是一場鬧劇。”
與此同時,Digicert正在其客戶中進行一項匿名調查,以瞭解縮短一年的SSL證書壽命將如何影響他們的活動。如果客戶抱怨——你可以肯定——那麼Digicert很可能會利用調查結果來反對谷歌的提議。
(內容轉載於zdnet)