苹果强势逼迫整个 CA 行业进入一年的证书寿命期

苹果公司在 2020 年 2 月单方面做出的一项决定在浏览器领域引起了反响，并有效地强势逼迫证书颁发机构行业接受 TLS 证书 398 天的新默认寿命。继苹果最初宣布之后，Mozilla 和谷歌也表示了类似的意向，将在其浏览器中实施同样的规则。

从 2020 年 9 月 1 日开始，苹果、谷歌和 Mozilla 的浏览器和设备将对有效期超过 398 天的新 TLS 证书显示错误。此举是一个重要的举措，因为它不仅改变了互联网的一个核心部分--TLS 证书的工作方式，还因为它打破了正常的行业惯例以及浏览器和 CA/B 论坛的合作。

CA/B 论坛，这是一个非正式的组织，由证书颁发机构（CA）、发行用于支持 HTTPS 流量的 TLS 证书的公司和浏览器制造商组成。自 2005 年以来，这个小组一直在制定 TLS 证书的发行规则，以及浏览器应该如何管理和验证它们。浏览器和 CA 通常会对即将出台的规则进行讨论，直到他们达成共识，然后他们通过规则，所有成员都会执行。

然而，在其 15 年的历史中，有一个话题每次被提起都会引起人们的关注，那就是 TLS 证书的寿命。TLS 的寿命从 8 年开始，经过多年的发展，浏览器厂商对其进行了削足适履，将其降低到 5 年，然后是 3 年，再到 2 年。上一次变化发生在 2018 年 3 月，当时浏览器制造商试图将 SSL 证书寿命从三年减少到一年，但在 CA 的积极反击下妥协了两年。

但几乎没有一年的时间，他们就把 TLS 寿命从三年降到了两年，浏览器制造商又尝试了一次，这让 CA 们大失所望，当时他们认为自己达成了妥协，把这件事给解决了。正如 ZDNet 去年夏天所报道的那样，浏览器厂商再次尝试将 TLS 证书的寿命从两年降到一年。在 2019 年 9 月，由谷歌召集的这项提案的投票失败了。虽然该提案获得了浏览器厂商 100% 的支持，但只有 35% 的 CA 投票批准了一年的 TLS 证书寿命。

但在 2 月份，苹果打破了 CA/B 论坛的标准操作程序。苹果没有要求投票，而是简单地宣布决定在其设备上实施 398 天的寿命，而不管 CA/B 论坛的 CA 们对这个问题有什么看法。两周后，Mozilla 也宣布了同样的消息，本月初，谷歌也跟进宣布了类似的消息。今年发生的事情，简单点说，就是表明浏览器厂商控制了 CA/B 论坛，他们完全控制了 HTTPS 生态系统，而 CA 只是参与者，没有实际权力。

图文来自 cnBeta，如有侵权请联系删除