Apple提议将SSL证书有效期缩短为45天

[复制链接]
七夏(UID:1) 发表于 2024-10-23 02:09:34 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
SSL/TLS证书的有效期一直在缩短。
2017年,证书的最大有效期从1185天(约39个月)缩短到825天(约27个月),当时人们认为这是SSL证书发展中的一大转变。
而在接下来的几年里,证书的有效期还在持续缩短,现在Apple提出将SSL/TLS证书的有效期缩短至45天,说实话还挺“夸张”的。

为什么缩短证书有效期?
1:避免密钥泄露的风险理论上,证书的生命周期越短,即使密钥泄露,恶意攻击者能利用的时间窗口也会更小,不过根本的问题还是要找到泄露的原因,比如服务器被攻击了。
2:吊销复杂度与成本另一个经常提到的原因是,证书吊销机制的复杂性和成本较高。

传统的CRL和OCSP(现在也逐步废弃了)往往被认为效率不够高,尤其是当证书泄露需要紧急吊销时,整个流程可能会很复杂。
更深层次的好处其实是算法的发展,缩短证书有效期最合理的原因是为了应对加密算法的进步。
因为好的算法更安全,缩短证书有效期可以促使网站更快地采用更新、更安全的加密算法。
但实际操作起来并不容易,新算法需要时间测试,类似这样的工程大部分组织积极性可能并不高。
其实缩短有效期最不爽的是运维,将带来巨大的工作量,尤其是那些依赖手动更新证书的组织,虽然现在由ACME这样的工具自动更新,但普及度并不高,这种高频次的更新需求可能会成为其运维中的“噩梦”。

目前免费Let's Encrypt证书的有效期是90天,我觉得相对是合适的。
小时候,看腻了农村的牛和马,长大后,来到了城里,才知道原来到处都是牛马!
全部回复3 显示全部楼层
fugui(UID:27) 发表于 2024-10-23 11:58:35 | 显示全部楼层
难道不能每天更新?
每天换个新的。
只是我觉得普通网站证书有什么意义?

fugui(UID:27) 发表于 2024-10-23 11:59:29 | 显示全部楼层
我已经改的从https跳转到http了
不用证书。。。
七夏(UID:1) 发表于 2024-10-23 12:17:03 | 显示全部楼层
fugui 发表于 2024-10-23 11:58
难道不能每天更新?
每天换个新的。
只是我觉得普通网站证书有什么意义?

我觉得证书对于普通用户来说最大的用处就是不显示不安全三个字😂
小时候,看腻了农村的牛和马,长大后,来到了城里,才知道原来到处都是牛马!

快速回帖

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1楼
2楼
3楼
4楼

关于楼主

管理员
  • 主题

    745
  • 回答

    264
  • 积分

    1980
虚位以待,此位置招租

商务推广

    网盘拉新-短剧推广 此位置招租 此位置招租 此位置招租 此位置招租 此位置招租 此位置招租 此位置招租 此位置招租 此位置招租