SSL信息
在安全性和易用性之间,SSL证书有效期的平衡点又在何处?
近日,证书颁发机构和浏览器论坛(CABForum)就是否将SSL证书最大有效期减少到13个月进行投票,并最终否决了该提案。至此,SSL证书的最大有效期仍是39个月。但谷歌的Ryan Sleevil立即表示,如果CAB论坛不能达成一致减少证书最大有效期,谷歌自己的Root Program会强行这么做,从而达到同样的结果。
“我们需要一个均衡的政策,既有效减少证书最大有效期,又不会对全手工操作的证书替换工作造成很大麻烦。”
这对全行业和CAB论坛来说都是一个重要的时刻。如果证书颁发机构(CAs)和浏览器无法达成妥协,改变将被强加于行业和客户身上,他们会对此措手不及。
证书颁发机构的主要反对理由是,他们的客户还没做好每年进行证书替换的准备。如果你只处理过一个证书,或许会认为这个理由很奇怪。但对于每次需要部署超过1万个过程繁琐的证书,还常会遇到一些过于老旧或不常见的系统的证书颁发机构来说,这个观点是有理有据的。
然而,谷歌(和Mozilla)都认为有效期很长的证书已经存在了太长时间,对于这种变化缓慢的生态环境忍无可忍。而他们也有很好的理由。较短的有效期会使行业更健康、更安全。为什么呢?
- 更快、更规范的证书截止期意味着新的政策和加密方法可以更快的推广。这对整个生态系统有着难以置信的价值。保证了所有SSL证书不会比X个月之前还糟糕——X值越小,上述说法就越有价值。
- 减小了错误颁发证书可能造成的损害。尤其要考虑到撤销方法并不完全可靠,且一些客户可能持续使用同一个证书直到过期。
- 鼓励机构积极地进行证书管理,更频繁地升级它们的配置。当证书有效期太长时,服务器管理员会忘记在哪部署过证书,这会导致证书过期、配置缺失和对SSL重要性的认知下降。
此处有一个直观的例子来证明这项观点:
比方说,行业认定某个确认程序并不足够可靠(比如近期的SHA-1事件),于是他们开会讨论改进方案,有人提出了一个提案,并被投票通过。表面上问题时解决了,但生态系统也因此被改进了吗?
并没有!旧的程序的证书仍将继续存在直至39个月的最后期限。也就说,当人们都忘了曾讨论做出过这项改变的很久以后,这些旧的不合规的证书仍然存在。而为了实现整个互联网范围内的进步,用户必须等待很多年,在此期间他们的利益会受到损害。
对证书进行验证并强制执行规定的软件销售商(如浏览器厂商)也会受到损害,因为他们需要采用各种复杂逻辑来适应这一逐步淘汰旧证书的时期。而这是浏览器必须时刻面对现实问题,他们需要不断地回退已做出的变更、创建异常处理机制并处理其它复杂情况。
所以,更短=更好。尽管有些机构还是反对这一提案,但大部分证书颁发机构承认这一点。
那么,这次变更证书最大有效期的提案到底哪出了问题?
问题在于,谷歌的提案太激进了。现在DV/OV SSL证书最大有效期是39个月,EV SSL证书最大有效期是27个月。谷歌想要一蹴而就,直接将所有证书最大有效期降到1年,并在6个月内实施。
毋庸置疑的是,如果没有压力的话,将不会有任何改变,我们也无法实现向一年期证书的转变。我们需要这种转变。
所以,我们要怎么做?
首先,我们需要取得一致意见,然后一起制定出一个近期的简略规划。证书颁发机构需要改进他们的企业级工具,并帮助他们的客户为即将到来的改变做好准备。而终端用户需要知道一年的最大有效期是合理的。
机构和服务器管理员需要开始寻找新的技术和政策,让他们替换证书的速度更快。这意味着做出真正的改变和投入,这将让他们更容易地替换证书,不论他们需要处理的证书是少数几个还是20000个。
浏览器厂商需要耐心
如果你处在如谷歌和Mozilla这般的技术前沿,那么很明显,这是一个已持续存在了很长时间但还没有被认真对待的问题。
但CAB论坛还有艰巨的任务,他们不仅要保持互联网的安全,还要对那些反应迟钝的企业部门以及在非公开网络上对公开可信的SSL做出的千奇百怪的(基本上是不明智的)应用负责。
现实是:Alexa前100万家网站大部分都还没使用HTTPS,而这些网站无法建立一个像样的配置。同时,仅将一个大型网站迁移到HTTPS就可能花费两年时间,主要互联网服务提供商仍不能跟踪他们所有的证书,证书部署在各种老旧的、不常见的、需要艰苦的手工替换证书的设备上。
并非说我们就应该接受这些糟糕的现实。但CAB论坛和Root Programs需要制定应对这些现实的政策。
现在这意味着,我们需要一种均衡,既有效减少证书最大有效期,又不对完全依赖人工的证书替换造成太大麻烦。例如,今年第四季度初期开始生效的27个月的最大有效期,就很好地实现了这种均衡。
笔者希望,我们的所有目标都能协商解决——增强紧迫感并实际提高证书实践的同时,不会过多加重服务器管理员的负担。
本文由Vincent Lynch发表在The SSL Store博客。