過去 10 年來,瀏覽器業者已經陸續將 SSL 憑證效期從 8 年、5 年、39 個月,一直到去年縮減至 27 個月。
擁有 Chrome 瀏覽器的 Google 最近提案將 HTTPS 加密的 SSL 憑證效期,由現行的 27 個月縮短為 13 個月。
Google 是在 6 月於希臘舉行的 CA/B Forum 的 F2F 會議上提案從 2020 年 3 月 1 日起,將 SSL 憑證效期由現在的 825 天縮減為 397 天,並將交付大會表決。
CA/B Forum 是憑證機構(CA)與瀏覽器業者、軟體公司參加的業界論壇,其憑證政策 Section 6.3.2 規定訂閱憑證的效期。過去 10 年來,瀏覽器業者已經將 SSL 憑證效期由最早的8年、砍成 5 年、39 個月,去年 3 月再縮減到現行的27個月效期。
憑證業者對此很不滿,例如 DigiCert 代表 Timothy Hollebeek 認為,此舉將增加客戶憑證更新的頻率,徒增成本及作業負擔。他並指出,即使是為了安全理由,例如防止惡意或釣魚網站,這種作法也不合理,因為釣魚網站存在期間十分短,大約 1、2 個星期而已,等網站過濾業者將其加入黑名單,惡意網站早就轉移陣地。
不過安全研究人員 Scott Helme 聲稱,縮短 SSL 效期的最終目的並不是惡意網站,而是不具保護力的憑證本身。例如 2015 年發生過賽門鐵克誤發了上百個 Google.com 的延伸驗證(EV)憑證,令惡意網站可能冒充 Google 網域下的合法網站。他指出,有些不良憑證即使被註銷了還能使用,縮減效期即可解決類似問題。
市場上最大憑證機構 Sectigo (原名Comodo)則強調自家憑證可以自動化更新。該公司認為,即使表決不通過,瀏覽器業者也握有絕對權力,可片面強制實行其決策。例如 Google、微軟、蘋果及 Mozilla 近年就是以不安全為由,決定取消其瀏覽器對 SHA-1 憑證的支援。