三大瀏覽器近年推動將支援HTTPS憑證的效期縮短為13個月。而在蘋果Safari今年2月首先發難後,Google和Mozilla也在本周宣佈今年9月1日起不再支援效期超過398天的HTTPS憑證。

憑證機構瀏覽器論壇(Certification Authority Browser Forum,CA/Browser)主席Dean Coclin本月中首先宣布Chrome將加入蘋果的行動,把公開TLS憑證的效期限縮到398天,時間點從9月1日開始。而Mozilla也在5月的CA/Browser論壇上做出相同的宣布,兩者也都是在眾多憑證發放機構(Certificate Authority,CA)的反對下做出決定。

事實上,Google去年就已經在CA/Browser論壇上提案縮短支援的TLS憑證效期到13個月,並且獲得Mozilla的支持。而今年2月蘋果更是在未經和CA業者的討論下片面宣布這項政策。

自9月1日起,Safari、Chrome、Firefox三大瀏覽器不再接受憑證效期超過398天的新網站憑證。即使網站管理員可以買到效期2年或更久的憑證,都會被手機、平板及PC上的這些瀏覽器標示為不安全。

但是今年9月1日之後,網站仍然能使用之前取得的效期2年(27個月)的憑證。因此,網站管理員最好在8月31日前更新取得2年效期的憑證。

CA/B Forum是憑證機構(CA)與瀏覽器業者、軟體公司、CA參加的業界論壇,但是近年關於憑證效期已漸漸由瀏覽器廠商取得決定主導權。事實上,過去10年來,瀏覽器業者已經將憑證效期由最早的8年漸次縮短為5年、39個月及現行的27個月。

縮短憑證效期的壞處是網站管理員負擔變大,可能憑證不小心就過期,對CA來說也增加作業。但好處是更為安全;憑證輪替的次數更頻繁,技術也更新,若憑證出現漏洞,可以藉由經常更新憑證降低網站被駭的機會。


Advertisement

更多 iThome相關內容