擁有Chrome瀏覽器的Google最近提案將HTTPS加密的SSL憑證效期,由現行的27個月縮短為13個月。

Google是在6月於希臘舉行的CA/B Forum的F2F會議上提案從2020年3月1日起,將SSL憑證效期由現在的825天縮減為397天,並將交付大會表決。

CA/B Forum是憑證機構(CA)與瀏覽器業者、軟體公司參加的業界論壇,其憑證政策Section 6.3.2規定訂閱憑證的效期。過去10年來,瀏覽器業者已經將SSL憑證效期由最早的8年、砍成5年、39個月,去年3月再縮減到現行的27個月效期。

憑證業者對此很不滿,例如DigiCert代表Timothy Hollebeek認為,此舉將增加客戶憑證更新的頻率,徒增成本及作業負擔。他並指出,即使是為了安全理由,例如防止惡意或釣魚網站,這種作法也不合理,因為釣魚網站存在期間十分短,大約1、2個星期而已,等網站過濾業者將其加入黑名單,惡意網站早就轉移陣地。

不過安全研究人員Scott Helme聲稱,縮短SSL效期的最終目的並不是惡意網站,而是不具保護力的憑證本身。例如2015年發生過賽門鐵克誤發了上百個Google.com的延伸驗證(EV)憑證,令惡意網站可能冒充Google網域下的合法網站。他指出,有些不良憑證即使被註銷了還能使用,縮減效期即可解決類似問題。

市場上最大憑證機構Sectigo(原名Comodo)則強調自家憑證可以自動化更新。該公司認為,即使表決不通過,瀏覽器業者也握有絕對權力,可片面強制實行其決策。例如Google、微軟、蘋果及Mozilla近年就是以不安全為由,決定取消其瀏覽器對SHA-1憑證的支援。


Advertisement

更多 iThome相關內容