SSL

SSL 又有新規定?這次居然是蘋果發起的?該怎麼做才能讓網站擁有最安全的 HTTPS 顯示

2020/7/27 更新:

自蘋果 Safari 宣布今年 9 月 1 日起,不再支援憑證有效期超過 398 天的 SSL 數位憑證(或稱 TLS 憑證)後, Mozilla Firefox 與 Google Chrome 也於近日相繼宣布跟進此項政策,未來此三大瀏覽器都只接受有效期約 13 個月以下的 SSL 數位憑證。本次政策調整主要是為了減少整體網路生態風險,各間瀏覽器服務提供商認為,若憑證發生安全漏洞,過長年限的 SSL 數位憑證,可能會因為未即時更新而產生安全風險;此外,縮短 SSL 數位憑證有效期也能降低憑證檔外洩風險、以及網域更換所有者冒名頂替發生的機率。

想進一步了解憑證供應商的政策公告嗎?可以參考以下連結:Apple SafariMozilla Firefox、以及 Google Chrome 的非正式公告,相較於 Safari 和 Firefox 都是由官方發出的正式公告,Chrome 則是由憑證機構瀏覽器論壇 (Certification Authority Browser Forum,CA/Browser) 主席 Dean Coclin 在 Twitter 上釋出消息。

以往都是 Google 發起的 SSL 數位憑證政策革新,這次主角居然換人了?!變由蘋果 (Apple Inc.) Safari 來當!這故事要回到今年 2 月憑證機構瀏覽器論壇說起,蘋果在論壇中宣布,今年 9 月 1 日起新申請或續約更新的 SSL 數位憑證,若憑證有效期超過 398 天,Mac OS 和 iOS 系統將不再信任,並建議憑證最長有效期為 397 天。 (關於 Google 對於 SSL 政策的實施,可以參考沒裝 SSL 會被標示為「不安全 」,別讓您的網站不被信任。)

為了配合瀏覽器政策的調整,憑證中心從 8 月 31 日起,所有新核發或是重新核發的 SSL 數位憑證,最長有效期將調整為 397 天。需特別說明的是,瀏覽器政策是針對 9 月 1 日後才頒發的 SSL 數位憑證,在這之前取得的 SSL 數位憑證不受影響。若您仍希望享有多年憑證優惠價、或是減少安裝作業流程,建議可以在 8 月31 日前完成新申請、或是續約多年憑證,如此一來將不受到新政策影響,並能在有效期限內繼續使用。不過需留意,此處時間點認定以「憑證核發日」計算,並非指申請日!因憑證需要經過驗證才會核發,一般建議至少提早 7-10 個工作天進行。

本文章將聚焦三大重點,讓大家在面對 SSL 數位憑證政策革新時,更能掌握方向並做出正確的因應措施。

一、Safari 的 SSL 數位憑證政策上路後,對企業有什麼影響
二、面對這項 SSL 新政策,企業主可以怎麼做
三、為什麼憑證有效期要縮短至 398 天?

一、Safari 的 SSL 數位憑證政策上路後,對企業有什麼影響

今年 9 月 1 日後,Safari、Firefox、Chrome 都會調整為只接受有效期小於 398 天的 SSL 數位憑證,這對企業有什麼影響呢?最直接的就是網站的 IT 管理了!為了讓所申請的憑證都能受到瀏覽器信任並視為有效憑證,企業必須每年進行續約更新。

換個角度想,最近因疫情而爆紅的 BCP 企業持續營運計畫 (Business Continuity Planning) (延伸閱讀:BCP 這個名詞到底憑什麼這麼夯?BCP 是什麼?),其中強調的一項觀念就是定期的企業資源盤點與安全更新,我們可以將 SSL 數位憑證的定期更新維護,視為其中一環,藉由每年固定的續約與審核,維護企業網站安全,並帶給客戶更安心、放心的瀏覽空間。

二、面對這項 SSL 新政策,企業主可以怎麼做

首先,您可以先確認目前網站的憑證有效期限,基本上時間點是以新政策上線的首日 2020/9/1 為分水嶺。

  1. SSL 數位憑證在 9 月 1 日前就到期。
    這不用多說,這種情形就一定要先續約更新,但企業可以評估要續約一年期或是多年期 SSL 數位憑證,因為在新政策上路前完成核發的多年期憑證,在有效期限內都會受到瀏覽器信任。
     
  2. SSL 數位憑證在 9 月 1 日後到期,這會出現兩種情況
    ● 先續約更新:企業可以續約一年或是多年期 SSL 數位憑證,而且在政策上線前就取得的多年期憑證,即使政策上路後,依然能繼續使用至憑證有限期結束。不過此處須留意新申請的憑證有效日是從核發日起算,而舊憑證剩餘的有效期等同無效。
    ● 等憑證到期前再進行續約:以一年期為單位續約。

不過,即使於 2020/8/31 前就完成核發的 SSL 數位憑證,若於有效期間內有因憑證檔案遺失,或其他原因有憑證重置需求時,受到新政策限制,重置後的憑證有效期最多就是 397 天,這代表即使您申請的憑證品項支援無限次數憑證重發,但當您因憑證檔案遺失、或其它因素需要重新核發 SSL 數位憑證時,仍有可能因為該調整,造成重新核發的憑證有效期變短。

因此,建議您妥善保管目前完整的憑證公鑰、私鑰、甚至是憑證請求檔案,或是可以在該調整生效前,和憑證廠商申請並取得重新核發的 SSL 數位憑證,以免影響自身權益(建議預先抓 7-10 個工作日,以避免驗證延誤造成核發日超過 8 月 31 日)。若有任何疑問,也可以直接聯繫匯智為您解答唷,服務電話為 (02) 2718-7200,或來信至 service@cloudmax.com.tw。

三、為什麼憑證有效期要縮短至 398 天?

398 天,相當於 13 個月,為什麼憑證有效期要越縮越短呢?從最早的 8 年、5 年、39 個月、到目前的 27 個月,這要回到 SSL 數位憑證的目的來說,憑證主要的功能就是為了加解密傳輸資料,讓機敏資料在傳輸過程中即便被有心人士獲取也無法得知傳輸內容,但隨著電腦運算技術的演進,難保不會出現破解演算法技術,因此希望可以透過縮短憑證有效期的政策,降低整體網路生態風險。

最後,若大家還想了解關於 SSL 數位憑證的其他資訊,可以閱讀下列文章,獲得更多 SSL 數位憑證的實用情報喔!

2019年了!續談 SSL 數位憑證該怎麼挑選?https://blog.cloudmax.com.tw/update-2019-ssl-trend-and-how-to-choose
沒裝 SSL 會被標示為「不安全 」,別讓您的網站不被信任
https://blog.cloudmax.com.tw/google-chrome
域名型 SSL (DVSSL) 和企業型 SSL (OVSSL),如何選擇?https://blog.cloudmax.com.tw/the-different-between-dvssl-and-ovssl
網站安全檢測,檢查您的 SSL 安裝是否正確
https://blog.cloudmax.com.tw/ssl-test
網站裝了 SSL 數位憑證就安全了嗎?
https://blog.cloudmax.com.tw/web-security-hackerscan

歡迎轉載!請見:轉載原則