Apple 最近在斯洛伐克举行的凭证机构与浏览器论坛 ( CA / Browser )会议上首次提出这项政策。根据与会的人士的说法,从 9 月 1 日起,任何有效期超过 398 天的新证书将不会受 Safari 信任并且将被拒绝。不过,在此期限前颁发的旧证书将不会受此新规则的影响。
简单来说即是任何在 2020 年 8 月 30 日之后发出,並且有效期超过 398 天的证书将不会被 Safafi 信任。而任何在 2020 年 9 月 1 日前发出, 有效期不超过 825 日的证书将会仍然有效。
由于任何 iOS 或者 macOS 设备的 Safari 都将会实施这项新措施,因此开发者以及网站管理员都要被逼确保他们的证书符合 Apple 的要求,不然很大机会失去不少网站流量。
1
mrcn OP 不过超过 1 年的证书好像不多,大部分都是 1 年的。
|
3
mrcn OP 感觉这种事应该由 TLS 相关的标准委员会制定,而不是 Apple。
还好 Chrome 是谷歌家的。 |
5
fzhyzamt 2020-02-25 15:10:09 +08:00
Chrome 好像也在考虑缩短证书有效期
对于那些上古项目这可不是好消息 |
6
Xusually 2020-02-25 15:33:39 +08:00
@fzhyzamt 和上古项目没关系,签发日期 2020 年 8 月 30 日之后的才会受影响,以前签发的,三年五年的有效期都没事儿。
这个做法主要是为了推动新的的加密规范的持续更新和应用,不然一堆上古的老版本的加密算法一直在被使用。 |
7
shansing 2020-02-25 15:51:13 +08:00
补充知识:早前规定自 2018 年 3 月 1 日之后签发的证书,最高有效期仅 2 年。
|
8
GM 2020-02-25 16:23:02 +08:00 1
我就好奇为什么偏偏是 398 天,而不是 400 天、365+1 天?
|
9
Benisme 2020-02-25 16:24:05 +08:00
害,还以为是不超过的会无效,那没事了(反正我用的是免费的证书)
|
12
geekzu 2020-02-25 19:44:48 +08:00 via Android
@GM 一年证书周期+一个月续费补偿期。
另外之前 CAB 规范要求客户企业信息验证后的有效期就是 13 个月。 |
13
falcon05 2020-02-25 19:56:11 +08:00 via iPhone
自签名证书呢?
|
14
PHPer233 2020-02-25 20:17:11 +08:00 via Android
我感觉苹果公司是不是在作死?
|
15
churchmice 2020-02-25 20:47:32 +08:00
我自签名的证书都是 3 年的
|
16
seki 2020-02-25 21:02:32 +08:00
那种大一点的网站几十个证书几百个服务器需要部署的,岂不是每年都得累死
那不如根证书也一年续期一次吧,安全,安全 |
19
namebus 2020-03-05 11:14:34 +08:00
我这边了解和理解的是这样的:
一、2020 年 9 月 1 日前签发的所有多年证书都不受影响(当前还可以发多年的,尽管放心去签去用); 二、398 天其实是 12 个月+1 个月(一般 CA 允许提前续期,未到期的时间会加到新签发的证书里),当前行业标准最长是可以签发两年(实际是 27 个月,24 个月+3 个月提前续期); 三、证书自动化是未来的趋势,Let's Encrypt 已经是个很好的证明了(他们最近的安全事件这里不讨论),所以 398 天的证书完全没问题。 欢迎补充 |