Google、Mozilla也将HTTPS凭证支援期缩短为398天

三大浏览器近年推动将支援HTTPS凭证的效期缩短为13个月。而在苹果Safari今年2月首先发难后，Google和Mozilla也在本周宣布今年9月1日起不再支援效期超过398天的HTTPS凭证。

凭证机构浏览器论坛（Certification Authority Browser Forum，CA/Browser）主席Dean Coclin本月中首先宣布Chrome将加入苹果的行动，把公开TLS凭证的效期限缩到398天，时间点从9月1日开始。而Mozilla也在5月的CA/Browser论坛上做出相同的宣布，两者也都是在众多凭证发放机构（Certificate Authority，CA）的反对下做出决定。

事实上，Google去年就已经在CA/Browser论坛上提案缩短支援的TLS凭证效期到13个月，并且获得Mozilla的支持。而今年2月苹果更是在未经和CA业者的讨论下片面宣布这项政策。

自9月1日起，Safari、Chrome、Firefox三大浏览器不再接受凭证效期超过398天的新网站凭证。即使网站管理员可以买到效期2年或更久的凭证，都会被手机、平板及PC上的这些浏览器标示为不安全。

但是今年9月1日之后，网站仍然能使用之前取得的效期2年（27个月）的凭证。因此，网站管理员最好在8月31日前更新取得2年效期的凭证。

CA/B Forum是凭证机构（CA）与浏览器业者、软件公司、CA参加的业界论坛，但是近年关于凭证效期已渐渐由浏览器厂商取得决定主导权。事实上，过去10年来，浏览器业者已经将凭证效期由最早的8年渐次缩短为5年、39个月及现行的27个月。

缩短凭证效期的坏处是网站管理员负担变大，可能凭证不小心就过期，对CA来说也增加作业。但好处是更为安全；凭证轮替的次数更频繁，技术也更新，若凭证出现漏洞，可以借由经常更新凭证降低网站被骇的机会。