從2020/09/01起 SSL 證書壽命從過去的27個月(825天)縮短至398天,主要為了提高憑證安全性,減少被盜取或偽造的證書進行網路釣魚或是惡意軟體攻擊的時間。對於移動裝置用戶因性能關係無法主動驗證證書狀態,如果憑證已經被吊銷也不會向用戶發出任何警告,達到進一步保護。
本次縮短時間較為特別是發起機構的不同,過去由CA / Browser Forum機構發起,從2011年以前的8-10年縮短成五年,2005年又進一步縮短成三年,2008年再次縮短成兩年,但本次由Apple,Google和Mozilla將在其各自的瀏覽器拒絕超過398天以上的憑證。
儘管在2019年9 月份在CA / Browser Forum 投票縮短憑證期限(Reduce Certificate Lifetimes)表決中未通過,但主要供應商Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360皆投下贊同票,再次見證了用市場改變遊戲規則。
對既有憑證的影響
憑證是2020/09/01前簽屬的憑證在過期前沒有任何影響,但在2020/09/01後簽屬的憑證將不被主流瀏覽器承認是安全的連線。
Apples 旗下 Safari 瀏覽器將會以”Connections to TLS servers violating these new requirements will fail”錯誤訊息拒絕連線。
Google旗下的chrome瀏覽器會以”ERR_CERT_VALIDITY_TOO_LONG”拒絕連線。
用戶依然可以跟憑證廠商一次購買多年的憑證,但每張憑證有效期將只有397天,用戶需在接近到期日前重新下載新簽發的憑證並置換原本憑證,感受到 IT人員心中滿滿的淚。
公司在憑證未有完整更新的SOP下,瀏覽器顯示憑證過期也將在未來時間越來越常出現在客戶端上。
