文|三易生活
作为全球顶尖的科技巨头之一,苹果不止在自己的一亩三分地里说一不二,在整个互联网行业也有拥有着巨大的影响力,他们的一举一动也会改变部分从业者的生活。
日前有消息显示,苹果已向国际性电子认证机构(CA)与操作系统、浏览器厂商组成的CA/B论坛提交表决提案,建议将SSL/TLS证书的有效期从398天缩短至45天。
消息一出,无数站长以及社区管理员开始在网络上吐槽苹果的这个决定,纷纷抱怨其不该进行这项提案。据悉,SSL/TLS证书是一种权威性的电子文档,同时也是网络信息传播之中证明身份的工具。而TLC/SSL证书主要发挥作用的场景,就是我们用浏览器访问网站时,它会确保浏览器访问的web服务器是URL对应的、而非钓鱼网站。
在访问互联网的过程里,用户在浏览器中输入的网址后,浏览器首先会检阅网站的web服务器里存储的数字证书,以对服务器进行身份验证。简单来说,数字证书的意义就是在网络上证明“我是我”。如果TLC/SSL证书无效,用户就会看到一条警告,声称连接不是私有的,也意味着浏览器无法与网站建立安全的加密连接。
面对这种情况,浏览器现在会以直接警告的方式提示不要访问对应网站,所以对于网站的站长来说,如果没有TLC/SSL证书或者是证书过期,也就意味着访问量可能暴跌,而没有访客则代表网站上挂载的广告不会被打开,最终影响他们的收入。所以对于网站站长来说,保证TLC/SSL证书的长期有效是确保网站生存的头等大事。
如此一来,站长想要的自然是TLC/SSL证书有效期越长越好。然而遗憾的是,负责签发TLC/SSL证书的数字证书认证中心(CA)和验证证书的浏览器厂商,站在了站长的对立面。最初TLC/SSL证书的有效期最高是10年,到了2011年这个数字变成5年,随后在2015年减到3年、2018年更是缩短为2年。
到了2020年,苹果在未经CA/B论坛投票的情况下,单独宣布自2020年9月1日开始,任何有效期超过398天的新TLC/SSL证书将不会受到Safari浏览器的信任,紧接着Google和Mozilla也纷纷效仿。没错,现在网站的TLC/SSL证书已经需要每年进行续签。那么为何浏览器巨头都想要缩短这个证书的有效期呢?
答案是苹果是为了用更低的成本,来提高用户从其浏览器访问网络的安全性。众所周知,TLC/SSL证书来自于作为第三方的数字证书认证中心,后者会使用非对称加密技术来产生一对公钥和私钥,然后用自己的私钥对自己的公钥进行签名。公钥加密算法的安全性是建立在私钥安全的基础上,所以如果网站使用的数字证书私钥文件被不慎泄露呢?
TLC/SSL证书的私钥泄露,将会让加密数据传输通道不再具有“加密”的作用,不法分子通过泄露的私匙就可以窃取网站的数据、内容,进而获得用户的账号密码、支付密码等敏感信息。因此缩短证书有效期就可以让证书颁发机构轮换密钥,进而保障证书自身的安全性。
与此同时,由于每一次申请TLC/SSL证书都需要“验明正身”,所以缩短证书有效期,也可以使得证书颁发机构及时对网站的最新信息进行验证,从而确保网站的真实身份及其安全性。再说了,一个的合法网站永远不会成为钓鱼站点,这种保证浏览器厂商可做不出来。
最为核心的一点,是TLC/SSL证书的有效期越长,证书吊销列表(CRL)也会变得越来越长,而CRL的作用就是告知浏览器哪些证书是有效、哪些已经被吊销。它越长就会越增加浏览器的请求流量压力,进而导致浏览器崩溃等情况的出现。
一旦TLC/SSL证书的时效缩短,证书颁发机构就要始终保持加密算法的稳定性和安全性,而网站站长为了避免因证书过期导致网站成为网络钓鱼活动的温床,就要始终关注证书的有效期。如此一来,缩短TLC/SSL证书的有效期就等于是脏活累活要证书颁发机构和网站站长来干,苹果只需坐享其成即可。
从398天到45天,就意味着网站站长要从现在每年更新一次TLC/SSL证书,发展到每一个半月就更新一次。毫无疑问这样的时间差可谓是天壤之别,也就难怪这些站长们都不乐意了。
评论