让我们加密最近离开 beta 版,并将证书的最大生命周期限制为 90 天,建议 60 天。
现在,每当我开始谈论证书撤销问题(例如 OCSP 软失败)时,我都会听到:“短期证书可能是最好的解决方案”。
所以我的问题是:
为什么短期证书是一个相对较新的趋势,并且在过去的三十年里还没有被大型 CA 部署?
请注意,理论上部署它符合 CA 的最佳利益,因为他们实际上可以节省负载很重的 OCSP 服务器,并通过证书赚取足够的钱来开发强大的自动证书更新工具。
为什么短期证书如此罕见?
信息安全
证书
证书颁发机构
证书吊销
2021-08-27 21:30:05
1个回答
在没有适当的自动化证书管理的环境中,这将是一个巨大的运营成本,这实际上是当今世界上绝大多数的运营环境。事实上,在大多数环境中,几乎没有什么是自动化的。在过去的几年里,我们刚刚开始看到人们涉足这些领域,而大多数主流组织只是在过去的一两年里。
因此,当对服务器进行修改(如更换证书)需要采购订单、服务器管理员手动部署以及 4-6 周的变更管理流程时,您将其乘以 10,000 倍以获得中等规模-ish 组织,短期证书从挑战变为不可能。
当然,有些组织(例如谷歌)已经做到了这一点,至少在他们的公共财产上(我不知道他们的企业系统是否得到同样的关注),它将开始使用 Let's Encrypt 之类的工具侵入主流ACME 客户端。但这并没有存在很长时间,并且在此之前没有其他任何东西可以让一个实施起来并不复杂的组织变得容易。再加上伪造或被盗的证书并不是组织需要解决的广泛普遍或昂贵的问题,并且没有任何动力投资于解决方案。真正的答案是让短期证书比长期证书更便宜、更容易管理。那是他们起飞的时候,为什么让'