谷歌員工提議將HTTPS證書有效期縮短至13個月

　　8月14日消息 眾所周知，HTTPS證書主要用于加密瀏覽器和站點(diǎn)之間的連接，并幫助軟件確定沒有人篡改或竊聽這些連接！而據(jù)最新消息顯示，行業(yè)團(tuán)體CA/Browser Forum似乎正考慮將HTTPS證書的有效期從27個月縮短到13個月。

　　據(jù)悉，如果減少TLS/SSL證書有效的時間，網(wǎng)站必須更頻繁地更新其證書。理論上，這樣的證書有效期也有助于減少欺詐活動，如果是偷來的證書則很快會失效，被遺棄的網(wǎng)站也會更快地過期。這將迫使他們使用最新和最推薦的加密和散列證書，而不是使用不安全算法的老化證書。

　　但DigiCert的Timothy Hollebeek卻反對將證書有效期縮短至13個月，其認(rèn)為縮短證書壽命確實(shí)帶來的好處，也意味著要有更好的方法來確保證書是最新的和安全的，且存在一些麻煩，企業(yè)不得不每年續(xù)簽一次付費(fèi)證書，并且增加其成本。

　　換句話說，減少有效期可能會促使企業(yè)免費(fèi)使用Let‘s Encrypt TLS/SSL，就不會向Digicert這樣的機(jī)構(gòu)支付費(fèi)用！Let’s Encrypt可以免費(fèi)發(fā)放90天的HTTPS證書，使用提供的軟件客戶端來自動更新和部署證書，而由于幾乎所有瀏覽器和操作系統(tǒng)都支持Let‘s Encrypt TLS/SSL證書，導(dǎo)致該服務(wù)正給向HTTPS證書收費(fèi)的證書頒發(fā)機(jī)構(gòu)帶來巨大壓力。

　　按照Hollebeek的說法，“將證書壽命迅速縮短到一年，甚至更少，對于許多依賴數(shù)字證書保護(hù)系統(tǒng)的公司來說，這將帶來巨大的成本。這些費(fèi)用不會換來更加安全的改進(jìn)，并且這項(xiàng)提案對從事非法活動或冒充合法公司的非法分子不會有任何影響。最主要的一點(diǎn)是，減少證書壽命的任何好處都是屬于理論性的，在短期內(nèi)要付諸實(shí)際的話，產(chǎn)生的風(fēng)險和成本也將難以預(yù)測。”

　　從目前已知的情況來看，該提案于今年早些時候在谷歌員工Ryan Sleevi的一次會議上提出，尚處于草案階段，還沒有關(guān)于何時進(jìn)行表決的消息。值得一提的是，CA/Browser Forum在2017年就否決了一項(xiàng)將證書有效期從39個月縮短至13個月的提案！此事的后續(xù)進(jìn)展，我們也將繼續(xù)關(guān)注。