苹果强力推动整个CA行业进入一年证书寿命
苹果在2020年2月单方面做出的一项决定在整个浏览器领域产生了反响,有效地迫使证书颁发机构(Certificate Authority)行业痛苦地接受了TLS证书398天的新默认期限。
在苹果最初宣布后,Mozilla和Google也表示了类似的意图,将在他们的浏览器中实施同样的规则。
从2020年9月1日开始,苹果、谷歌和Mozilla的浏览器和设备将对寿命超过398天的新TLS证书显示错误。
这一举措非常重要,因为它不仅改变了互联网的核心部分--tls证书--的运作方式,还因为它背离了正常的行业惯例以及浏览器和CA之间的合作。
这是一个由证书颁发机构(CA)、颁发用于支持HTTPS通信的TLS证书的公司和浏览器制造商组成的非正式组织,称为CA/B论坛。
自2005年以来,该小组一直在制定关于TLS证书应该如何颁发以及浏览器应该如何管理和验证它们的规则。
浏览器和CA通常讨论即将到来的规则,直到他们达成共识,然后他们通过所有成员都执行的规则。
然而,纵观TLS 15年的历史,有一个话题每次被提起都总是惹恼人--这就是TLS证书的寿命。
TLS的使用寿命从8年开始,多年来,浏览器制造商一直在逐步缩小它的使用寿命,将其降至5年,然后降至3年,然后降至2年。
上一次变化发生在2018年3月,当时浏览器制造商试图将SSL证书的寿命从三年减少到一年,但在遭到CA的积极抵制后,妥协了两年。
但距离他们将TLS的使用寿命从三年缩短到两年还不到一年,浏览器制造商再次尝试,这让CA们感到沮丧,他们当时认为他们达成了妥协,并将此事搁置一边。
正如ZDNet去年夏天报道的那样,浏览器供应商再次尝试将TLS证书的寿命从两年提高到一年。2019年9月,谷歌呼吁对这项提案进行投票,但以失败告终。虽然这项提议获得了浏览器制造商100%的支持,但只有35%的CA投票批准了一年的TLS证书有效期。
但在2月份,苹果违反了CA/B论坛的标准操作程序。苹果没有呼吁进行投票,而是简单地宣布了在其设备上实施398天寿命的决定,而不管CA/B论坛中的CA对这个问题的看法。
两周后,Mozilla宣布了同样的消息,本月早些时候,谷歌也发布了类似的声明。
简而言之,今年发生的事情证明了浏览器制造商控制了CA/B论坛,他们完全控制了HTTPS生态系统,CA只是参与者,没有实际权力。
今年发生的事情也被HashedOut预测到了,HashedOut是一个致力于CA行业的CA友好新闻网站。
该网站在2019年8月,也就是投票前一个月写道,如果CA投票否决了这项措施(2019年9月的投票),浏览器可能会单方面采取行动,无论如何都会强制改变。
它补充说,这并非没有先例,但在一个传统上像这样的合议性问题上也从未发生过。如果是这样的话,问CA/B论坛的意义是什么就变得公平了。因为在这一点上,浏览器基本上是由法令统治的,整个过程将只是一场闹剧。
在局外人看来,所有这一切看起来都像是一些关于技术细节的愚蠢的戏剧和一场权力的戏剧。然而,浏览器制造商一直在努力争取更短的TLS证书是有原因的。
规范是,一旦TLS证书被恶意软件、网络钓鱼或其他操作滥用,证书应由CA吊销。
然而,在实践中,证书吊销过程多年来一直是乱七八糟的,很少有CA及时吊销证书,而不良证书多年来仍然有效,允许坏人在多次操作中使用和重复使用相同的证书。
浏览器制造商辩称,通过缩短TLS证书的寿命,这些证书将更快地失效,即使它们是由松散的CA颁发的。
此外,还有流量解密的问题。浏览器制造商预计,在未来的某个时候,威胁制造者将能够解密他们今天记录的HTTPS流量。
浏览器制造商希望通过使用有效期较短的证书来保护流量,从而使这一过程对攻击者来说更加耗费资源。
CA一直在与寿命较短的问题作斗争,因为他们认为这些问题实际上都不会有什么不同,因为恶意软件操作人员在使用过TLS证书一次后往往会放弃这些证书,特别是现在,因为许多公司在各种优惠和计划下提供免费的TLS证书。
更短的生命周期只会给他们的IT团队带来更多的工作,并改变他们认为应该保持不变的行业标准--因为这就是标准应该如何工作,保持不变,而不是每年都更新。
尽管如此,这个问题已经决定了,对于整个过程的结果,CA们远不满意。在CA/B论坛2020年5月的一次会议上,一些CA对苹果的决定做出了公开回应,许多CA的语气并不积极。
另一家认证机构D-TRUST表示,它也被迫遵守这一新的TLS使用期限,但他们明确表示,他们不认为缩短证书使用期限会带来任何安全收益或其他好处。
回复还在继续,用同样被动攻击性的语气回答。是的,我们会这么做,但我们对此并不满意。
对于证书颁发机构:如果他们希望在此日期之后颁发的TLS证书在Apple、Google和Mozilla浏览器中得到认可,证书的有效期不能超过398天,否则证书将发出错误并断开连接。
