SSL/TLS加密协议是目前互联网上最重要的基础设施之一 , 若没有数据加密的话或许互联网的发展也不会这么快。数据加密目前最常见的就是HTTPS传输层安全协议,通过SSL/TLS数字证书确保使用者与发送者的信息不被窃取。
数字证书最初有效期长达10年,不过在过去10年里数字证书的有效期已经被大幅缩短 , 从8年降到5年再到2年等。
而从2020年9月1日起数字证书的有效期最长只能398天(13个月) , 为什么数字证书的有效期会被不断地进行缩短?
新签发证书有效期最长398天:
按颁发机构/浏览器论坛讨论后的最新规定 , 从 9月1日 起新签发的数字证书有效期最长不得超过398天即13个月。
如果证书起始日期超过这个规定的话则浏览器不会信任,浏览器不信任的结果就是直接拒绝网页加载无法浏览等。
例如超过日期的证书在谷歌浏览器上显示ERR_CERT_VALIDITY_TOO_LONG 错误,这说明证书有效期超过限制。
谷歌浏览器将这种错误视为是证书签发错误即无效的数字证书,当然谷歌浏览器也会拒绝加载不允许用户浏览等。
每次颁发机构和浏览器论坛讨论降低证书有效期都是基于安全考虑的,实际上这些多数都是浏览器开发商提出的。
就目前来说浏览器开发商们更强势因此证书颁发机构基本只能听着,颁发机构们其实更希望能够签发更长的证书。
证书时间长短与安全性有何关系:
颁发机构们希望签发更长的证书是因为可以一次性收更多的费用,毕竟如果是一年的话到期客户不一定继续续费。
但浏览器开发商们担心数字证书遭到泄露和滥用,如果证书公钥和私钥泄露的话可能会造成钓鱼欺诈等网络攻击。
如果将证书有效期缩短的话那么证书泄露后到期就会过期无法使用,如果是十年的证书那十年才过期实在太长了。
当然证书有效期缩短意味着网站维护者需要更频繁的更换证书,事实上现在每年都有因为证书过期导致的宕机等。
比如Microsoft Teams前段时间就因为忘记续期证书导致大量用户无法登录,光大银行网银前几天也过期忘记换。
善用证书吊销工具会更好:
比起缩短证书有效期其实更重要的是善用吊销工具,通常发现证书泄露后应该立即联系颁发机构对证书进行吊销。
吊销后所有浏览器和操作系统只要联网就会立即不信任被吊销的证书,这种情况比证书泄露后慢慢等过期更好些。
当然前提是你得知道自己的证书泄露才能去吊销,可能更多的是证书被盗仍然不知情于是也不太可能去主动吊销。
此前国内就有家知名公司被人冒名刻章申请数字证书,申请的数字证书用来签发恶意软件和病毒进行网络攻击等。
因此除缩短证书时间、加强证书安全保护和善用吊销工具外,对证书颁发机构本身也需要加强监管才能安全无虞。