Apple 引入更严格 HTTPS 规则网站证书有效期不得超过 398 天

2020-02-25 14:03:02 +08:00
 mrcn

Apple 最近在斯洛伐克举行的凭证机构与浏览器论坛 ( CA / Browser )会议上首次提出这项政策。根据与会的人士的说法,从 9 月 1 日起,任何有效期超过 398 天的新证书将不会受 Safari 信任并且将被拒绝。不过,在此期限前颁发的旧证书将不会受此新规则的影响。

简单来说即是任何在 2020 年 8 月 30 日之后发出,並且有效期超过 398 天的证书将不会被 Safafi 信任。而任何在 2020 年 9 月 1 日前发出, 有效期不超过 825 日的证书将会仍然有效。

由于任何 iOS 或者 macOS 设备的 Safari 都将会实施这项新措施,因此开发者以及网站管理员都要被逼确保他们的证书符合 Apple 的要求,不然很大机会失去不少网站流量。

转自 www.expreview.com/73170.html

3924 次点击
所在节点    SSL
19 条回复
mrcn
2020-02-25 14:04:15 +08:00
不过超过 1 年的证书好像不多,大部分都是 1 年的。
dot2017
2020-02-25 14:05:22 +08:00
@mrcn 单位有一堆单域名证书三年期的,估计全要换 = =
mrcn
2020-02-25 14:13:58 +08:00
感觉这种事应该由 TLS 相关的标准委员会制定,而不是 Apple。

还好 Chrome 是谷歌家的。
dndx
2020-02-25 14:14:31 +08:00
@dot2017 证书 2020 年 8 月 30 日之后签发才受影响
fzhyzamt
2020-02-25 15:10:09 +08:00
Chrome 好像也在考虑缩短证书有效期
对于那些上古项目这可不是好消息
Xusually
2020-02-25 15:33:39 +08:00
@fzhyzamt 和上古项目没关系,签发日期 2020 年 8 月 30 日之后的才会受影响,以前签发的,三年五年的有效期都没事儿。
这个做法主要是为了推动新的的加密规范的持续更新和应用,不然一堆上古的老版本的加密算法一直在被使用。
shansing
2020-02-25 15:51:13 +08:00
补充知识:早前规定自 2018 年 3 月 1 日之后签发的证书,最高有效期仅 2 年。
GM
2020-02-25 16:23:02 +08:00
我就好奇为什么偏偏是 398 天,而不是 400 天、365+1 天?
Benisme
2020-02-25 16:24:05 +08:00
害,还以为是不超过的会无效,那没事了(反正我用的是免费的证书)
Showfom
2020-02-25 18:18:00 +08:00
@GM 不要 400 只要 398
GM
2020-02-25 18:23:12 +08:00
@Showfom 赶快拨打电话吧?
geekzu
2020-02-25 19:44:48 +08:00
@GM 一年证书周期+一个月续费补偿期。
另外之前 CAB 规范要求客户企业信息验证后的有效期就是 13 个月。
falcon05
2020-02-25 19:56:11 +08:00
自签名证书呢?
PHPer233
2020-02-25 20:17:11 +08:00
我感觉苹果公司是不是在作死?
churchmice
2020-02-25 20:47:32 +08:00
我自签名的证书都是 3 年的
seki
2020-02-25 21:02:32 +08:00
那种大一点的网站几十个证书几百个服务器需要部署的,岂不是每年都得累死

那不如根证书也一年续期一次吧,安全,安全
Showfom
2020-02-25 21:02:45 +08:00
@falcon05 自签的你设置 10 年都可以
GM
2020-02-25 21:48:15 +08:00
@geekzu 感谢科普。
namebus
2020-03-05 11:14:34 +08:00
我这边了解和理解的是这样的:
一、2020 年 9 月 1 日前签发的所有多年证书都不受影响(当前还可以发多年的,尽管放心去签去用);
二、398 天其实是 12 个月+1 个月(一般 CA 允许提前续期,未到期的时间会加到新签发的证书里),当前行业标准最长是可以签发两年(实际是 27 个月,24 个月+3 个月提前续期);
三、证书自动化是未来的趋势,Let's Encrypt 已经是个很好的证明了(他们最近的安全事件这里不讨论),所以 398 天的证书完全没问题。

欢迎补充

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/647384

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX