文｜三易生活

作為全球頂尖的科技巨頭之一，蘋(píng)果不止在自己的一畝三分地里說(shuō)一不二，在整個(gè)互聯(lián)網(wǎng)行業(yè)也有擁有著巨大的影響力，他們的一舉一動(dòng)也會(huì)改變部分從業(yè)者的生活。

日前有消息顯示，蘋(píng)果已向國(guó)際性電子認(rèn)證機(jī)構(gòu)（CA）與操作系統(tǒng)、瀏覽器廠商組成的CA/B論壇提交表決提案，建議將SSL/TLS證書(shū)的有效期從398天縮短至45天。

消息一出，無(wú)數(shù)站長(zhǎng)以及社區(qū)管理員開(kāi)始在網(wǎng)絡(luò)上吐槽蘋(píng)果的這個(gè)決定，紛紛抱怨其不該進(jìn)行這項(xiàng)提案。據(jù)悉，SSL/TLS證書(shū)是一種權(quán)威性的電子文檔，同時(shí)也是網(wǎng)絡(luò)信息傳播之中證明身份的工具。而TLC/SSL證書(shū)主要發(fā)揮作用的場(chǎng)景，就是我們用瀏覽器訪問(wèn)網(wǎng)站時(shí)，它會(huì)確保瀏覽器訪問(wèn)的web服務(wù)器是URL對(duì)應(yīng)的、而非釣魚(yú)網(wǎng)站。

在訪問(wèn)互聯(lián)網(wǎng)的過(guò)程里，用戶在瀏覽器中輸入的網(wǎng)址后，瀏覽器首先會(huì)檢閱網(wǎng)站的web服務(wù)器里存儲(chǔ)的數(shù)字證書(shū)，以對(duì)服務(wù)器進(jìn)行身份驗(yàn)證。簡(jiǎn)單來(lái)說(shuō)，數(shù)字證書(shū)的意義就是在網(wǎng)絡(luò)上證明“我是我”。如果TLC/SSL證書(shū)無(wú)效，用戶就會(huì)看到一條警告，聲稱連接不是私有的，也意味著瀏覽器無(wú)法與網(wǎng)站建立安全的加密連接。

面對(duì)這種情況，瀏覽器現(xiàn)在會(huì)以直接警告的方式提示不要訪問(wèn)對(duì)應(yīng)網(wǎng)站，所以對(duì)于網(wǎng)站的站長(zhǎng)來(lái)說(shuō)，如果沒(méi)有TLC/SSL證書(shū)或者是證書(shū)過(guò)期，也就意味著訪問(wèn)量可能暴跌，而沒(méi)有訪客則代表網(wǎng)站上掛載的廣告不會(huì)被打開(kāi)，最終影響他們的收入。所以對(duì)于網(wǎng)站站長(zhǎng)來(lái)說(shuō)，保證TLC/SSL證書(shū)的長(zhǎng)期有效是確保網(wǎng)站生存的頭等大事。

如此一來(lái)，站長(zhǎng)想要的自然是TLC/SSL證書(shū)有效期越長(zhǎng)越好。然而遺憾的是，負(fù)責(zé)簽發(fā)TLC/SSL證書(shū)的數(shù)字證書(shū)認(rèn)證中心（CA）和驗(yàn)證證書(shū)的瀏覽器廠商，站在了站長(zhǎng)的對(duì)立面。最初TLC/SSL證書(shū)的有效期最高是10年，到了2011年這個(gè)數(shù)字變成5年，隨后在2015年減到3年、2018年更是縮短為2年。

到了2020年，蘋(píng)果在未經(jīng)CA/B論壇投票的情況下，單獨(dú)宣布自2020年9月1日開(kāi)始，任何有效期超過(guò)398天的新TLC/SSL證書(shū)將不會(huì)受到Safari瀏覽器的信任，緊接著Google和Mozilla也紛紛效仿。沒(méi)錯(cuò)，現(xiàn)在網(wǎng)站的TLC/SSL證書(shū)已經(jīng)需要每年進(jìn)行續(xù)簽。那么為何瀏覽器巨頭都想要縮短這個(gè)證書(shū)的有效期呢？

答案是蘋(píng)果是為了用更低的成本，來(lái)提高用戶從其瀏覽器訪問(wèn)網(wǎng)絡(luò)的安全性。眾所周知，TLC/SSL證書(shū)來(lái)自于作為第三方的數(shù)字證書(shū)認(rèn)證中心，后者會(huì)使用非對(duì)稱加密技術(shù)來(lái)產(chǎn)生一對(duì)公鑰和私鑰，然后用自己的私鑰對(duì)自己的公鑰進(jìn)行簽名。公鑰加密算法的安全性是建立在私鑰安全的基礎(chǔ)上，所以如果網(wǎng)站使用的數(shù)字證書(shū)私鑰文件被不慎泄露呢？

TLC/SSL證書(shū)的私鑰泄露，將會(huì)讓加密數(shù)據(jù)傳輸通道不再具有“加密”的作用，不法分子通過(guò)泄露的私匙就可以竊取網(wǎng)站的數(shù)據(jù)、內(nèi)容，進(jìn)而獲得用戶的賬號(hào)密碼、支付密碼等敏感信息。因此縮短證書(shū)有效期就可以讓證書(shū)頒發(fā)機(jī)構(gòu)輪換密鑰，進(jìn)而保障證書(shū)自身的安全性。

與此同時(shí)，由于每一次申請(qǐng)TLC/SSL證書(shū)都需要“驗(yàn)明正身”，所以縮短證書(shū)有效期，也可以使得證書(shū)頒發(fā)機(jī)構(gòu)及時(shí)對(duì)網(wǎng)站的最新信息進(jìn)行驗(yàn)證，從而確保網(wǎng)站的真實(shí)身份及其安全性。再說(shuō)了，一個(gè)的合法網(wǎng)站永遠(yuǎn)不會(huì)成為釣魚(yú)站點(diǎn)，這種保證瀏覽器廠商可做不出來(lái)。

最為核心的一點(diǎn)，是TLC/SSL證書(shū)的有效期越長(zhǎng)，證書(shū)吊銷(xiāo)列表（CRL）也會(huì)變得越來(lái)越長(zhǎng)，而CRL的作用就是告知瀏覽器哪些證書(shū)是有效、哪些已經(jīng)被吊銷(xiāo)。它越長(zhǎng)就會(huì)?越增加瀏覽器的請(qǐng)求流量壓力，進(jìn)而導(dǎo)致瀏覽器崩潰等情況的出現(xiàn)。

一旦TLC/SSL證書(shū)的時(shí)效縮短，證書(shū)頒發(fā)機(jī)構(gòu)就要始終保持加密算法的穩(wěn)定性和安全性，而網(wǎng)站站長(zhǎng)為了避免因證書(shū)過(guò)期導(dǎo)致網(wǎng)站成為網(wǎng)絡(luò)釣魚(yú)活動(dòng)的溫床，就要始終關(guān)注證書(shū)的有效期。如此一來(lái)，縮短TLC/SSL證書(shū)的有效期就等于是臟活累活要證書(shū)頒發(fā)機(jī)構(gòu)和網(wǎng)站站長(zhǎng)來(lái)干，蘋(píng)果只需坐享其成即可。

從398天到45天，就意味著網(wǎng)站站長(zhǎng)要從現(xiàn)在每年更新一次TLC/SSL證書(shū)，發(fā)展到每一個(gè)半月就更新一次。毫無(wú)疑問(wèn)這樣的時(shí)間差可謂是天壤之別，也就難怪這些站長(zhǎng)們都不樂(lè)意了。