该条件对2020年9月1日之后颁发的所有公共服务器证书有效。如果证书不符合此规则,浏览器将拒绝该证书为无效证书,并特别以error响应
ERR_CERT_VALIDITY_TOO_LONG
。
对于2020年9月1日之前收到的证书,将保留今天的信任并将其限制为825天(2.2年)。
以前,Firefox和Safari浏览器的开发人员引入了对证书最长生存期的限制。该更改也于9月1日生效。
这意味着在截止点之后使用长寿命SSL / TLS证书的网站将在浏览器中引发隐私错误。
苹果在2020年2月的CA /浏览器论坛会议上率先宣布了这一新政策。通过引入新规则,苹果承诺将其应用于所有iOS和macOS设备。这将对网站管理员和开发人员造成压力,以确保其证书符合要求。
苹果,谷歌和其他CA /浏览器成员已经讨论了缩短证书寿命的几个月。这项政策有其优点和缺点。
此步骤的目标是通过确保开发人员使用具有最新加密标准的证书来提高网站安全性,并减少可能被盗用并重新用于网络钓鱼和恶意开车攻击的旧的,被遗忘的证书的数量。如果攻击者可以破坏SSL / TLS加密,那么短期证书将使人们可以在大约一年内迁移到更安全的证书。
缩短证书的有效性存在一些缺点。值得注意的是,通过增加证书替换的频率,Apple和其他公司也使网站所有者和需要管理证书和合规性的公司的生活变得更加困难。
另一方面,Let's Encrypt和其他认证机构正在鼓励网站管理员实施自动更新证书的程序。随着证书替换频率的增加,这减少了人力支出和错误风险。
如您所知,Let's Encrypt颁发免费的HTTPS证书,该证书将在90天后过期,并提供自动续签的工具。因此,由于浏览器设置了最大到期限制,因此这些证书现在更适合整个基础结构。
CA /浏览器论坛协会的成员将此更改付诸表决,但由于证书颁发机构的不同意见,该决定未获批准。
结果
证书发行者投票
赞成(11票):亚马逊,Buypass,切尔蒂纳(DHIMYOTIS),certSIGN,Sectigo(以前是Comodo CA),eMudhra,Kamu SM,让我们加密,Logius,PKIoverheid,SHECA,SSL.com
反对(20):卡梅拉卡,切尔塔纳( (Asseco),CFCA,中华电信,Comsign,D-TRUST,DarkMatter,Entrust Datacard,Firmaprofesional,GDCA,GlobalSign,GoDaddy,Izenpe,Network Solutions,OATI,SECOM,SwissSign,TWCA,TrustCor,SecureTrust(以前称为Trustwave)
弃权):HARICA,TurkTrust
证书消费者投票
对于(7):苹果,思科,谷歌,微软,Mozilla,Opera,360
反对:0
弃权:0
现在,浏览器无需征得认证机构的同意即可执行此政策。