关注网络安全
和行业未来

CA/BForum否决一年期SSL证书提案

但即便185号提案失败,事情还是会走到这一步......

上周,证书颁发机构和浏览器论坛开始就一项新的提案进行投票,即CA/BForum 185号提案。此次将涉及对所有有效期超过13个月的SSL证书的限制。

CA/BForum是一个自发性的行业团体,它曾在SSL证书的发布和管理发明建立了很多规则。该论坛存在的目的是,能够使发布证书的机构和SSL证书通常的使用者——浏览器销售商协商工作,并建立起行业性的标准和政策。

在该论坛中,有一个反复展开的重要话题就是关于SSL证书有效性的讨论。

所有SSL证书都有有效期——这是一个日期范围的数据,它告知你(和你的计算机)在确保连接安全的情况下可以对一个证书信任多久。有效期结束后,证书就过期了。这与我们的驾驶执照、护照等类似,它们也是为确认信息仍然准确,也是需要更新的。

CA/BForum的185号提案是由谷歌的Ryan Sleevi提出的,提议把所有类型的SSL证书的最大允许生存期减少到13个月(1年加1个月“缓冲”期)。目前,SSL证书生存期最高可达39个月,而EV证书的这一限制是27个月。如果该提案获得通过,这一改变在6个月内就将生效。

这意味着所有使用SSL证书的网站和机构都需要每年替换和重新安装它们的证书。会对某些用户产生很大的影响。

谷歌和Mozilla是新政策的主要支持者。谷歌的Ryan Sleevi说,“证书有效期是提高Web PKI安全性的唯一最大障碍。”

CA/BForum185号提案接受了绝大部分证书颁发机构的批评。在CA/BForum中代表Symantec的Dean Coclin写道“我认为没有人不赞成‘越短越好’这一观点,但至少对某些人来说,‘多么短’看起来是个有争议的话题。”

Comodo的Robin Alden说“我们致力于网络安全。更实用的安全。我们代表着很多的证书持有者,他们还没有足够的技术专家、人力和/或自动化系统来应对处理缩减证书最大有效期的提案。”

所有其他政策变化的效果都与最大有效期有关。例如,一项新政策在2017年1月实施,而目前的最大有效期是39个月。2020年4月(也就是所有在该政策出台前已颁发的证书到期的时候)之前都会有不合规的证书存在。这是个很长的等待时间。

如果证书最长生存期是13个月的话,到2018年2月所有证书即会全部满足要求。

证书最大生存期缩短会使行业进步更快。尽管这对个人用户可能无关紧要,但在宏观层面却很是重要。从不起眼的格式变化到重要的加密算法变化(如你可能听说过很多次的SHA-2迁移)等任何方面都可能受到影响。

此外还有很多其它好处,如降低某些错误(如错误的办法或未授权的证书)的影响、使不再信任证书颁发机构的过程变得更简单以及提高CRL撤销方法的性能。

大多数证书颁发机构和浏览器厂商都认为保持证书有效期过久会产生风险,将会使整个Web PKI变得缓慢和不安全。

但是,证书颁发机构认为CA/BForum185号提案过于激进。该提案把多个步骤绑在一起了——首先就将证书最大有效期由3年减到1年,然后是让这一政策在短短的6个月后生效。对此,证书颁发机构及其客户深感惊恐。

对这一改变的主要争论是,每年更换证书给管理带来的麻烦要超过证书有效期缩短带来的好处。美国证书颁发机构DigiCert新兴市场部门执行副主席Jeremy Rowley写道:“我们最近一直在对客户进行问卷调查,询问他们是否支持一年期证书方案,但我们还达不到实施这项政策所要求的自动化水平。”

不要忽视一些企业所涉及的行业规模有多大,这很重要。一些大型用户有数以万计的证书都部署在他们的网络上。

在某些情况下,这是一个技术挑战——现有的环境和使用的工具并不支持一年期证书所要求的自动化水平。但在其它一些情况下,则存在政策和组织方面的障碍。Kevin Jones分享了他此前工作中的一些经历,当时为了协调与他们合作的第三方公司部署新的证书,整整花了几星期的时间。Jones说:“从这一点上来说,从39个月变为13个月是一项艰巨的任务。”

不仅证书颁发机构反对CA/BForum185号提案。CA/BForum中来自微软公司代表浏览器厂商的Jody Cloutier写道:“微软感谢这一努力,也赞成缩短证书有效期,但这项提案提出的期限太短,非常难于实施。因此,我们投了反对票,并鼓励其它相关方也这么做。”

你永远无法得到你想要的(除非你本身就是一个浏览器)

CA/BForum已经对证书有效期的问题进行了多年的讨论。十年来,证书颁发机构一直在颁发新的证书。证书有效期也在逐步缩短,这是因为,很长的证书有效期有安全方面的风险,给操作带来困扰,这种矛盾越来越突出。在2014年,CA/BForum同意将证书最大有效期由5年降低到3年。

很多证书颁发机构都有能力继续降低证书有效期,但它们认为更多的机构还没有准备好进行这种转变。

希腊一家地区性证书颁发机构HARICA的代表Dimitris Zacharopoulos写道:“手动替换这些证书(自动化技术还不够成熟)需要极大的工作量。”Zacharopoulos说,这一提案对终端用户来说,改变来的太多太快,“这会使他们措手不及。”

CA/BForum185号提案是谷歌在两周前提出的,尽管证书最大有效期经常被拿来讨论,但很多证书颁发机构还是认为,在一年内做出这一改变对他们来说实在是太突然了。

与美国国会类似,CA/BForum也是两院制的。证书颁发机构和浏览器厂商代表不同的选民群体和利益。一项投票需要同时得到两院的多数支持才能通过。而今该提案已被否决。

然而,尽管CA/BForum没能通过185号提案,但并不意味着将证书最大有效期减少到13个月这个提议就被彻底排除了。CA/BForum有件奇特的事情是,浏览器不需要它的批准就可以改变相关政策。

所有浏览器都需要有一个根存储区(也叫可信存储区),提供了信任SSL证书的基础。它们可以选择管理自己的根存储区,或者使用一个已存在的存储区。大多数浏览器选择通过一个Root程序自行管理,这样就可以自由设定规则。

这从根本上给了浏览器不受限制的实行自己政策的权力,而它们在过去也曾使用过这种权力来执行未取得CA/BForum批准的政策。

Google的Ryan Sleevi写道,如果CA/BForum在缩短证书有效期上意见无法统一,“下一步将是要求把这些改变纳入浏览器程序——不论证书是可信的还是错误颁发的——以确保满足安全的需求。”

不管证书行业是否愿意接受,证书有效期的大幅减少可能很快就要来了。

稿源:thesslstore

评论 抢沙发