圖片來源: 蘋果

蘋果於上周宣布,自9月1日起,Safari瀏覽器將不再接受憑證效期超過398天的新網站憑證。

蘋果是在憑證機構瀏覽器論壇(Certification Authority Browser Forum,CA/Browser)大會上宣布這項新政策,而由The Register首先報導。CA/B Forum是憑證機構(CA)與瀏覽器業者、軟體公司參加的業界論壇,在新政策下,新網站若包含效期超過13個月的憑證將被Safari、以及在iPhone、iPad及Mac電腦上視為不安全。但是Safari仍然會接受9月1日以前發出,即效期825天的SSL/TLS憑證。

其實這在SSL憑證界已經是討論已久的話題。憑證效期過長,可能發生憑證有安全漏洞時,網站未能及時更新而給了網路罪犯可乘之機,例如2015年賽門鐵克誤發上百個Google.com的延伸驗證(EV)憑證,惡意網站可能冒充Google網域下的合法網站。縮短SSL/TLS憑證效期可加速新的、更安全的憑證部署,進而降低網站用戶風險。但是另一方面,也有人批評頻繁更新,將增加網站管理員的作業負擔以及成本。

一些免費憑證供應商如Let’s Encypt,其憑證90天後便到期,但可經由該公司提供的工作自動更新。

過去10年來,瀏覽器業者已經將SSL憑證效期,由最早的8年、砍成5年、39個月,去年3月再縮減到現行的27個月效期。

蘋果並非唯一鼓吹再縮短憑證效期的瀏覽器廠商。Google和Mozilla去年6月提案從2020年3月1日起,將SSL憑證效期,由現在的825天縮減為397天,並將交付大會表決,不過迄今似乎尚無結果。