HTTPS 證書有效期被提議縮短至13個月

由 Web 瀏覽器製造商、軟體開發人員和安全證書頒發機構組成的行業團體 CA/Browser Forum，正在考慮將 HTTPS 證書的有效期從 27 個月縮短到 13 個月。關於這樣的提案，已經不是第一次提出。在 2017 年時，CA/Browser Forum 就否決了一項將證書有效期從 39 個月縮短至 13 個月的提案。

而早在一年前，證書的最長有效期已經從 39 個月降至 27 個月。

我們都知道，HTTPS 證書用於加密瀏覽器和站點之間的連線，幫助軟體確定沒有人篡改或竊聽這些連線。

如果減少 TLS/SSL 證書有效的時間，網站必須更頻繁地更新其證書。理論上，這樣的證書有效期也有助於減少欺詐活動，如果是偷來的證書則很快會失效，被遺棄的網站也會更快地過期。這將迫使他們使用最新和最推薦的加密和雜湊證書，而不是使用不安全演算法的老化證書。

不過，本週一時，DigiCert 的 Timothy Hollebeek 卻反對將證書有效期縮短至 13 個月，他認為，縮短證書壽命確實帶來的好處，但意味著要有更好的方法來確保證書是最新的和安全的，同時也存在一些麻煩，企業不得不每年續簽一次付費證書，並且增加其成本。

換句話說，減少有效期可能會促使企業免費使用 Let's Encrypt TLS/SSL，就不會向 Digicert 這樣的機構支付費用。Let's Encrypt 可以免費發放 90 天的 HTTPS 證書，使用提供的軟體客戶端來自動更新和部署證書，而由於幾乎所有瀏覽器和作業系統都支援 Let's Encrypt TLS/SSL 證書，導致該服務正給向 HTTPS 證書收費的證書頒發機構帶來巨大壓力。

Hollebeek 稱：將證書壽命迅速縮短到一年，甚至更少，對於許多依賴數字證書保護系統的公司來說，這將帶來巨大的成本。這些費用不會換來更加安全的改進，並且這項提案對從事非法活動或冒充合法公司的非法分子不會有任何影響。最主要的一點是，減少證書壽命的任何好處都是屬於理論性的，在短期內要付諸實際的話，產生的風險和成本也將難以預測。

該提案於今年早些時候在谷歌員工 Ryan Sleevi 的一次會議上提出，目前仍處於草案階段，還沒有關於何時進行表決的訊息。

作者：開源中國