近日，蘋果公司宣布了一項(xiàng)計(jì)劃，擬將SSL/TLS安全證書的有效期逐步從當(dāng)前的398天大幅縮短至2027年的45天。這一提議在網(wǎng)絡(luò)管理員和IT從業(yè)者中引發(fā)了強(qiáng)烈反響，不少人將其形容為“噩夢(mèng)般的計(jì)劃”。

在Reddit上，成百上千的系統(tǒng)管理員對(duì)這一提議表達(dá)了不滿。一位用戶寫道：“這簡(jiǎn)直太糟糕了。我們有個(gè)供應(yīng)商管理著大約10個(gè)網(wǎng)站，每次我們都要手動(dòng)提供證書。現(xiàn)在不僅要管理正式站點(diǎn)，還有測(cè)試站點(diǎn)，這簡(jiǎn)直太麻煩了。”

蘋果的這項(xiàng)提議將在即將召開的CA/B論壇上進(jìn)行投票。該提議要求HTTPS網(wǎng)站的證書更頻繁地更換，以確保瀏覽器的授信。此前，谷歌也提出過類似的建議，希望將TLS服務(wù)器證書的最大有效期縮短至90天。

過去，SSL證書的有效期曾長(zhǎng)達(dá)八年，但近年來為了提升互聯(lián)網(wǎng)安全性，證書的有效期逐步縮短。2020年，證書的最大有效期已被縮短至13個(gè)月。蘋果的新提議將進(jìn)一步縮短證書的有效期，計(jì)劃在2025年縮短至200天，2026年縮短至100天，最終在2027年降至45天。

盡管縮短證書有效期有助于提高互聯(lián)網(wǎng)安全性（較長(zhǎng)的有效期意味著網(wǎng)絡(luò)犯罪分子有更多時(shí)間利用被攻破的網(wǎng)站證書）但管理這些即將過期的證書的重任，最終將落在網(wǎng)站和系統(tǒng)管理員的肩上。許多管理員已經(jīng)在Reddit上表達(dá)了他們的擔(dān)憂和沮喪。正如一位管理員所言：“即便該提議未能通過CA/B論壇的投票，谷歌或蘋果可能還是會(huì)將其作為政策實(shí)施。”

證書供應(yīng)商Sectigo在支持蘋果提議的同時(shí)，也承認(rèn)這種改變將給繁忙的IT安全團(tuán)隊(duì)帶來巨大困擾，因?yàn)樗麄儗⒚媾R不同證書在不同時(shí)間過期的挑戰(zhàn)。Sectigo的首席合規(guī)官Tim Callan表示，自動(dòng)化證書管理將成為未來企業(yè)的常態(tài)。

然而，并不是所有系統(tǒng)都可以通過自動(dòng)化解決證書管理問題。一些系統(tǒng)管理員指出，他們的網(wǎng)絡(luò)設(shè)備不支持自動(dòng)化，有些設(shè)備還依賴于只能使用公共證書頒發(fā)機(jī)構(gòu)的系統(tǒng)。一位管理員寫道：“這個(gè)計(jì)劃對(duì)我來說簡(jiǎn)直是個(gè)噩夢(mèng)。我有大約20個(gè)不支持自動(dòng)化的設(shè)備服務(wù)。雖然我的環(huán)境幾乎都實(shí)現(xiàn)了自動(dòng)化，但SSL證書續(xù)期仍然是個(gè)大難題。”