mrcn
V2EX  ›  SSL

Apple 引入更严格 HTTPS 规则网站证书有效期不得超过 398 天

  •  
  •   mrcn · 2020-02-25 14:03:02 +08:00 · 2923 次点击
    这是一个创建于 642 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Apple 最近在斯洛伐克举行的凭证机构与浏览器论坛 ( CA / Browser )会议上首次提出这项政策。根据与会的人士的说法,从 9 月 1 日起,任何有效期超过 398 天的新证书将不会受 Safari 信任并且将被拒绝。不过,在此期限前颁发的旧证书将不会受此新规则的影响。

    简单来说即是任何在 2020 年 8 月 30 日之后发出,並且有效期超过 398 天的证书将不会被 Safafi 信任。而任何在 2020 年 9 月 1 日前发出, 有效期不超过 825 日的证书将会仍然有效。

    由于任何 iOS 或者 macOS 设备的 Safari 都将会实施这项新措施,因此开发者以及网站管理员都要被逼确保他们的证书符合 Apple 的要求,不然很大机会失去不少网站流量。

    转自 www.expreview.com/73170.html

    19 条回复    2020-03-05 11:14:34 +08:00
    mrcn
        1
    mrcn   2020-02-25 14:04:15 +08:00
    不过超过 1 年的证书好像不多,大部分都是 1 年的。
    dot2017
        2
    dot2017   2020-02-25 14:05:22 +08:00
    @mrcn 单位有一堆单域名证书三年期的,估计全要换 = =
    mrcn
        3
    mrcn   2020-02-25 14:13:58 +08:00
    感觉这种事应该由 TLS 相关的标准委员会制定,而不是 Apple。

    还好 Chrome 是谷歌家的。
    dndx
        4
    dndx   2020-02-25 14:14:31 +08:00
    @dot2017 证书 2020 年 8 月 30 日之后签发才受影响
    fzhyzamt
        5
    fzhyzamt   2020-02-25 15:10:09 +08:00
    Chrome 好像也在考虑缩短证书有效期
    对于那些上古项目这可不是好消息
    Xusually
        6
    Xusually   2020-02-25 15:33:39 +08:00
    @fzhyzamt 和上古项目没关系,签发日期 2020 年 8 月 30 日之后的才会受影响,以前签发的,三年五年的有效期都没事儿。
    这个做法主要是为了推动新的的加密规范的持续更新和应用,不然一堆上古的老版本的加密算法一直在被使用。
    shansing
        7
    shansing   2020-02-25 15:51:13 +08:00
    补充知识:早前规定自 2018 年 3 月 1 日之后签发的证书,最高有效期仅 2 年。
    GM
        8
    GM   2020-02-25 16:23:02 +08:00   ❤️ 1
    我就好奇为什么偏偏是 398 天,而不是 400 天、365+1 天?
    Benisme
        9
    Benisme   2020-02-25 16:24:05 +08:00
    害,还以为是不超过的会无效,那没事了(反正我用的是免费的证书)
    Showfom
        10
    Showfom   2020-02-25 18:18:00 +08:00
    @GM 不要 400 只要 398
    GM
        11
    GM   2020-02-25 18:23:12 +08:00
    @Showfom 赶快拨打电话吧?
    geekzu
        12
    geekzu   2020-02-25 19:44:48 +08:00 via Android
    @GM 一年证书周期+一个月续费补偿期。
    另外之前 CAB 规范要求客户企业信息验证后的有效期就是 13 个月。
    falcon05
        13
    falcon05   2020-02-25 19:56:11 +08:00 via iPhone
    自签名证书呢?
    PHPer233
        14
    PHPer233   2020-02-25 20:17:11 +08:00 via Android
    我感觉苹果公司是不是在作死?
    churchmice
        15
    churchmice   2020-02-25 20:47:32 +08:00
    我自签名的证书都是 3 年的
    seki
        16
    seki   2020-02-25 21:02:32 +08:00
    那种大一点的网站几十个证书几百个服务器需要部署的,岂不是每年都得累死

    那不如根证书也一年续期一次吧,安全,安全
    Showfom
        17
    Showfom   2020-02-25 21:02:45 +08:00
    @falcon05 自签的你设置 10 年都可以
    GM
        18
    GM   2020-02-25 21:48:15 +08:00
    @geekzu 感谢科普。
    namebus
        19
    namebus   2020-03-05 11:14:34 +08:00
    我这边了解和理解的是这样的:
    一、2020 年 9 月 1 日前签发的所有多年证书都不受影响(当前还可以发多年的,尽管放心去签去用);
    二、398 天其实是 12 个月+1 个月(一般 CA 允许提前续期,未到期的时间会加到新签发的证书里),当前行业标准最长是可以签发两年(实际是 27 个月,24 个月+3 个月提前续期);
    三、证书自动化是未来的趋势,Let's Encrypt 已经是个很好的证明了(他们最近的安全事件这里不讨论),所以 398 天的证书完全没问题。

    欢迎补充
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1135 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 18:12 · PVG 02:12 · LAX 10:12 · JFK 13:12
    ♥ Do have faith in what you're doing.