Mozilla最新宣布更新的策略,将缩短TLS(传输层安全性)证书的存活期。

    我国多家企业也加入这个新策略,其中有中国金融认证中心(CFCA)、中华电信、台湾CA公司(TWCA)响应日期为2020年8月31日;全球数字网络安全管理局有限公司(以前为广东省证书颁发机构(GDCA))、香港特别行政区政府、香港邮政响应日期为2020年9月1日;台湾政府根证书颁发机构(GRCA)自2019年9月18日起,GRCA及其子CA不再颁发任何TLS证书,将在2020年7月19日吊销所有TLS证书;上海电子认证中心有限公司(SHECA)已经限制为398天。

    目前,SSL / TLS证书的最长使用存活期为825天,为了确保更好地保护HTTPS连接,苹果、谷歌和Mozilla等浏览器厂商正在考虑将该期限缩短为398天。

    Mozilla与苹果、谷歌共同降低TLS证书的使用寿命 - 图1
    苹果公司官方发布有关限制TLS的内容

    苹果公司是第一个朝这个方向发展的公司,今年初宣布从2020年9月1日开始,TLS服务器证书的有效期最长为398天。这个更改将影响由预装有iOS、iPad OS、macOS、watchOS和tvOS的根CA颁发的TLS服务器证书。影响2020年9月1日或之后发布的TLS服务器证书;在此日期之前发出的任何证书都不会受到此更改的影响。

    上个月,谷歌方面也透露,将从2020年9月1日开始对Chrome 施加限制,拒绝违反该政策的证书。

    现在,Mozilla 表示已经准备好加入这个策略,并解释说此举将带来许多安全和隐私利益:使用过时或较弱算法的证书将被更快地淘汰、暴露减少。此外,某些模仿攻击可能会以这种方式减轻。

    Mozilla与苹果、谷歌共同降低TLS证书的使用寿命 - 图2
    SC31-浏览器调整介绍截图

    Mozilla表示无论CA / Browser论坛的讨论该问题的Ballot SC31是否通过,都将更新其“根存储策略”加以限制。在准备更新根存储策略时,计划中的所有证书颁发机构(CA)进行调查,打算将TLS证书的有效期限制在2020年9月1日之前,不得超过398天。

    微软是唯一尚未宣布具体计划的大型浏览器厂商,考虑到大趋势和Edge浏览器基于Chromium的事实,微软很可能会效仿。

    大多数CA已经宣布限制TLS证书有效性的计划,但是许多CA 抱怨必须更频繁地颁发证书给它们增加了负担。一些人还透露了准备以劳动力成本增加为理由,增加证书年费的计划。