近日,苹果公司宣布了一项计划,拟将SSL/TLS安全证书的有效期逐步从当前的398天大幅缩短至2027年的45天。这一提议在网络管理员和IT从业者中引发了强烈反响,不少人将其形容为“噩梦般的计划”。
在Reddit上,成百上千的系统管理员对这一提议表达了不满。一位用户写道:“这简直太糟糕了。我们有个供应商管理着大约10个网站,每次我们都要手动提供证书。现在不仅要管理正式站点,还有测试站点,这简直太麻烦了。”
苹果的这项提议将在即将召开的CA/B论坛上进行投票。该提议要求HTTPS网站的证书更频繁地更换,以确保浏览器的授信。此前,谷歌也提出过类似的建议,希望将TLS服务器证书的最大有效期缩短至90天。
过去,SSL证书的有效期曾长达八年,但近年来为了提升互联网安全性,证书的有效期逐步缩短。2020年,证书的最大有效期已被缩短至13个月。苹果的新提议将进一步缩短证书的有效期,计划在2025年缩短至200天,2026年缩短至100天,最终在2027年降至45天。
尽管缩短证书有效期有助于提高互联网安全性(较长的有效期意味着网络犯罪分子有更多时间利用被攻破的网站证书)但管理这些即将过期的证书的重任,最终将落在网站和系统管理员的肩上。许多管理员已经在Reddit上表达了他们的担忧和沮丧。正如一位管理员所言:“即便该提议未能通过CA/B论坛的投票,谷歌或苹果可能还是会将其作为政策实施。”
证书供应商Sectigo在支持苹果提议的同时,也承认这种改变将给繁忙的IT安全团队带来巨大困扰,因为他们将面临不同证书在不同时间过期的挑战。Sectigo的首席合规官Tim Callan表示,自动化证书管理将成为未来企业的常态。
然而,并不是所有系统都可以通过自动化解决证书管理问题。一些系统管理员指出,他们的网络设备不支持自动化,有些设备还依赖于只能使用公共证书颁发机构的系统。一位管理员写道:“这个计划对我来说简直是个噩梦。我有大约20个不支持自动化的设备服务。虽然我的环境几乎都实现了自动化,但SSL证书续期仍然是个大难题。”
