新闻详情
苹果强势逼迫整个 CA 行业进入一年的证书寿命期
2020-06-30
3074
苹果公司在 2020 年 2 月单方面做出的一项决定在浏览器领域引起了反响,并有效地强势逼迫证书颁发机构行业接受 TLS 证书 398 天的新默认寿命。继苹果最初宣布之后,Mozilla 和谷歌也表示了类似的意向,将在其浏览器中实施同样的规则。
从 2020 年 9 月 1 日开始,苹果、谷歌和 Mozilla 的浏览器和设备将对有效期超过 398 天的新 TLS 证书显示错误。此举是一个重要的举措,因为它不仅改变了互联网的一个核心部分--TLS 证书的工作方式,还因为它打破了正常的行业惯例以及浏览器和 CA/B 论坛的合作。
CA/B 论坛,这是一个非正式的组织,由证书颁发机构(CA)、发行用于支持 HTTPS 流量的 TLS 证书的公司和浏览器制造商组成。自 2005 年以来,这个小组一直在制定 TLS 证书的发行规则,以及浏览器应该如何管理和验证它们。浏览器和 CA 通常会对即将出台的规则进行讨论,直到他们达成共识,然后他们通过规则,所有成员都会执行。
然而,在其 15 年的历史中,有一个话题每次被提起都会引起人们的关注,那就是 TLS 证书的寿命。TLS 的寿命从 8 年开始,经过多年的发展,浏览器厂商对其进行了削足适履,将其降低到 5 年,然后是 3 年,再到 2 年。上一次变化发生在 2018 年 3 月,当时浏览器制造商试图将 SSL 证书寿命从三年减少到一年,但在 CA 的积极反击下妥协了两年。
但几乎没有一年的时间,他们就把 TLS 寿命从三年降到了两年,浏览器制造商又尝试了一次,这让 CA 们大失所望,当时他们认为自己达成了妥协,把这件事给解决了。正如 ZDNet 去年夏天所报道的那样,浏览器厂商再次尝试将 TLS 证书的寿命从两年降到一年。在 2019 年 9 月,由谷歌召集的这项提案的投票失败了。虽然该提案获得了浏览器厂商 100% 的支持,但只有 35% 的 CA 投票批准了一年的 TLS 证书寿命。
但在 2 月份,苹果打破了 CA/B 论坛的标准操作程序。苹果没有要求投票,而是简单地宣布决定在其设备上实施 398 天的寿命,而不管 CA/B 论坛的 CA 们对这个问题有什么看法。两周后,Mozilla 也宣布了同样的消息,本月初,谷歌也跟进宣布了类似的消息。今年发生的事情,简单点说,就是表明浏览器厂商控制了 CA/B 论坛,他们完全控制了 HTTPS 生态系统,而 CA 只是参与者,没有实际权力。
图文来自 cnBeta,如有侵权请联系删除
