苹果要求受信任SSL证书最长有效期不超过398天

管理员1年前 (2020-07-02)安全播报535

近年来,谷歌、苹果等CA/B论坛成员一直在考虑进一步缩短受信任SSL证书的最长有效期,从最初的5年到3年再到2年,而接下来将推进最长有效期1年的计划。去年9月份,“缩短SSL证书最长有效期至1年”提议在CA/B论坛没有投票通过。而苹果在今年2月的CA/B论坛会议上宣布,将于2020年9月1日起不再信任任何有效期超过 398 天的新签发的SSL证书。

以下是苹果官网公告原文:

关于即将对受信任证书实施的限制

我们一直在不断努力为用户提高网络安全性,为此 Apple 将缩短所允许的 TLS 服务器证书最长使用期限。

具体变化

对于在 2020 年 9 月 1 日格林尼治标准时间/世界标准时间 00:00 或之后颁发的 TLS 服务器证书,其有效期不得超过 398 天。

这一变化只会影响从 iOS、iPadOS、macOS、watchOS 和 Apple tvOS 预装的根 CA 所颁发的 TLS 服务器证书。另外,这一变化将只影响在 2020 年 9 月 1 日当天或之后颁发的 TLS 服务器证书;在这个日期之前颁发的任何证书都不会受到这一变化的影响。

如果 TLS 服务器违反了这些新要求,则将无法与其建立连接。这可能会导致网络和 App 出现故障,并阻止网站载入。

备注

根据 RFC 5280 第 4.1.2.5 节的规定,有效期的定义是“从有效期起始日期开始到有效期截止日期结束(包括这两天在内)的这段时间”。

在进行 398 天计时期间,一天按 86,400 秒计算。只要超出这个秒数即表示有效日增加一天。

我们建议所颁发证书的最长有效期为 397 天。

这一变化不会影响从用户添加或管理员添加的根 CA 所颁发的证书。

发布日期: 2020 年 03 月 11 日

缩短SSL证书最长有效期的目的是为了确保技术人员采用最新加密标准的SSL证书保护网站安全性,减少证书被盗用的风险,对网站安全性有很好的促进作用,但同样也存在一定的缺陷,不断缩短证书有效期,意味着网站管理人员需要更加频繁地更新SSL证书,增加运营成本。


发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。