新的CA / B论坛提案，旨在缩短SSL证书寿命：是否会提高安全性？

现在正在讨论的新的CA / Browser论坛提议将最大证书寿命缩短到13个月。这是在将使用寿命从39个月减少到2018年3月生效之后进行的。如果通过，这些更改将在2020年3月生效。此博客分析了此提议的优点，以及提议的安全性好处与对证书用户的影响的比较。

一年期证书更安全吗？

多年来，保护网站的证书的最长使用寿命为三年。仅在仔细审核证书中包含的所有信息之后，才能颁发这些证书，如果这些信息不再有效，则可以将其吊销。

早在2017年初，就曾尝试将证书的有效期减少到一年，但CA / B论坛拒绝了。现在，再次提出相同的建议。这些提议的背后是什么，它们为提高数字证书的安全性做了什么？

保护互联网流量

在现代互联网上，数字证书对于保护往返网站（包括最高价值的网站）的流量至关重要。这些通信可能包括各种敏感信息，包括付款信息，密码，受保护的健康信息，商业秘密和其他与工作有关的机密信息。这些网站必须保护信息安全的三个支柱：机密性，完整性和可用性。所有通信都需要加密，不能修改，也不能停机。

为了保证这一点，此类网站的维护者对何时以及如何修改其服务器以及可以在其服务器上运行哪些软件进行严格控制。在许多情况下，尤其是在金融和医疗保健行业中，存在严格的审核和合规性要求来管理这些变更管理程序。

过渡到较短的证书生命周期（尤其是不到一年）（正如在不久的将来可能会建议的那样）会产生巨大的成本。必须仔细测试每个更改，以确保正确进行了更改，并且不会对系统的安全性产生负面影响。以自动化方式进行此类更改很有吸引力，但是通过在关键系统上引入新的软件代理，大大增加了此类系统的复杂性，并增加了攻击面。更糟糕的是，这些软件代理连接到Internet并将证书直接下载到高度信任的系统上。需要注意确保不会对系统的安全性产生不利影响。

我们相信，通过让公司有更多时间继续使用不断增长的自动化，测试其系统并为这些更改做准备，可以更好地实现提高证书安全性的目标。首要的一点是，减少证书有效期的任何好处都是理论上的，而进行更改的风险和成本却是真实的，尤其是在短时间内。

拟议的安全利益

那么，提议的安全性好处是什么可以证明此成本合理呢？目前还不清楚。此更改对恶意网站绝对没有影响，恶意网站的运行时间非常短，从几天到最多一到两周不等。此后，该域已被添加到各种黑名单中，攻击者继续使用新域并获取新证书。

有时建议的另一个好处是，当合规性规则更改时，较短的生存期证书可以更快地进行转换。证书的有效期为两年，这意味着今天颁发的证书距现在仍将是大约两年。但是管理证书生态系统的人有责任提出至少可以持续这么长时间的合规性规则吗？持续不断地更改证书发行规则而花费很少的前置时间，就不会给那些部署或依赖证书的人足够的时间来了解更改，分析更改并确定对系统的影响，以及为负责任地更新系统做充分的准备，包括遵守所有其他法规要求。

同样重要的是要注意，此更改适用于所有公司，无论其状况如何，都需要相对较短的时间。这类短期授权具有将资源从许多公司正在进行的其他更关键的安全改进中转移出来的风险。

底线

对于许多依靠数字证书来保护其系统的公司而言，将证书的生存期迅速减少到一年甚至更少，将产生巨大的成本。这些成本不能由任何重大的安全改进所抵消，并且这些更改不会对从事非法活动或冒充合法公司的不良行为者产生影响。这些变化使许多公司难以保护其互联网流量和客户，而没有任何利益，因此DigiCert别无选择，只能反对这些变化。