SSL

SSL 又有新規定?這次居然是蘋果發起的?該怎麼做才能讓網站擁有最安全的 HTTPS 顯示

以往都是 Google 發起的 SSL 數位憑證政策革新,這次主角居然換人了?!變由蘋果 (Apple Inc.) Safari 來當!這故事要回到今年 2 月憑證機構瀏覽器論壇 (Certification Authority Browser Forum,CA/Browser Forum) 說起,蘋果在論壇中宣布,今年 9 月 1 日起新申請或續約更新的 SSL 數位憑證,若憑證有效期超過 398 天,Mac OS 和 iOS 系統將不再信任。(關於 Google 對於 SSL 政策的實施,可以參考沒裝 SSL 會被標示為「不安全 」,別讓您的網站不被信任。)

簡單來說,假設原網站 SSL 數位憑證的到期日在 9 月 1 日之後,當憑證到期失效後,為了符合蘋果的新規範,之後續約更新的憑證都只能註冊一年,才會受到 Safari 信任,並維持網站在瀏覽器的安全顯示。不過,如果還是想註冊多年期 SSL 數位憑證該怎麼辦呢?這時可以提早於今年 (2020) 9 月前先完成申請和續約更新,如此一來就不會受到影響,並能在有效期限內繼續使用。

本篇文章將聚焦三大重點,讓大家在面對蘋果 Safari 的 SSL 數位憑證政策革新時,更能掌握方向並做出正確的因應措施。

一、Safari 的 SSL 數位憑證政策上路後,對企業有什麼影響
二、面對這項 SSL 新政策,企業主可以怎麼做
三、為什麼憑證有效期要縮短至 398 天?

一、Safari 的 SSL 數位憑證政策上路後,對企業有什麼影響

今年 9 月 1 日後,Mac OS 和 iOS 系統都會調整為只接受有效期小於 398 天的 SSL 數位憑證,這對企業有什麼影響呢?最直接的就是網站的 IT 管理了!為了讓所申請的憑證都能受到 Safari 信任並視為有效憑證,企業必須每年進行續約更新,這將會增加網站管理員的人力與時間成本。

或許企業會反問,目前只有 Safari 有這項新規定,我們一定要跟進嗎?就目前來說,雖然 Chrome、Mozilla 及其他瀏覽器都還認可多年期憑證,但 Chrome 和 Mozilla 在去年的 CA/Browser Forum大會上,就有提案要將憑證有限期縮短,因此照這趨勢來看,日後 SSL 數位憑證政策有可能朝向全部瀏覽器都只接受一年期 SSL。

換個角度想,最近因疫情而爆紅的 BCP 企業持續營運計畫 (Business Continuity Planning) (延伸閱讀:BCP 這個名詞到底憑什麼這麼夯?BCP 是什麼?),其中強調的一項觀念就是定期的企業資源盤點與安全更新,我們可以將 SSL 數位憑證的定期更新維護,視為其中一環,藉由每年固定的續約與審核,維護企業網站安全,並帶給客戶更安心、放心的瀏覽空間。

二、面對這項 SSL 新政策,企業主可以怎麼做

首先,您可以先確認目前網站的憑證有效期限,基本上時間點是以新政策上線的首日 2020/9/1 為分水嶺。

  1. SSL 數位憑證在 9 月 1 日前就到期。
    這不用多說,這種情形就一定要先續約更新,但企業可以評估要申請一年期或是多年期 SSL數位憑證,因為在新政策上路前完成申請的多年期憑證,在有效期限內都會受到 Safari 信任。
  2. SSL 數位憑證在 9 月 1 日後到期,這會出現兩種情況
  • 先續約更新:企業可以續約一年或是多年期 SSL 數位憑證,而且在政策上線前就申請的多年期憑證,就算政策上路後都能繼續使用至憑證有限期結束。不過此處須留意新申請的憑證有效日是從核發日起算,而舊憑證剩餘的有效期等同無效。
  • 不進行任何動作直至 SSL 數位憑證到期:這種情形會建議就直接申請一年期憑證,避免被 Safari 認定為不信任。

以下直接以案例,搭配時間軸圖表讓大家更能理解新政策上線後,在不同瀏覽器的安全顯示。

案例一: 在 2020/9/1「前」完成新申請或續約 2 年期 SSL 的情況

SSL_safari

案例二: 在 2020/9/1 「後」 完成新申請或續約 2 年期 SSL 的情況

safari_SSL_policy

不過,即使於 2020/8/31 前就完成核發的 SSL 數位憑證,若於有效期間內有憑證重置需求,受到新政策限制,重置後的憑證有效期最多就是一年。若有任何疑問,也可以直接聯繫匯智為您解答唷,服務電話為 (02) 2718-7200,或來信至 service@cloudmax.com.tw。

三、為什麼憑證有效期要縮短至 398 天?

398 天,相當於 13 個月,為什麼憑證有效期要越縮越短呢?從最早的 8 年、5 年、39 個月、到目前的 27 個月,這要回到 SSL數位憑證的核發目的來說,憑證主要是做為網站的身分驗證,讓瀏覽者能確認網站的合法正當性,非釣魚網站,因此我們可以從憑證揭示的內容確認企業身分,關於如何查看企業資訊可以參考 在 Chrome / Firefox / IE / Edge 如何查看 SSL 憑證資訊?網站會呈現什麼樣子?。假設 SSL 數位憑證有效期過長,且缺乏定期的驗證機制,有可能會形成安全漏洞,讓有心人士有機可乘,基於此原因,憑證有效期才會不斷縮減,藉此提高安全性。

最後,若大家還想了解關於 SSL 數位憑證的其他資訊,可以閱讀下列文章,獲得更多 SSL 數位憑證的實用情報喔!

2019年了!續談 SSL 數位憑證該怎麼挑選?https://blog.cloudmax.com.tw/update-2019-ssl-trend-and-how-to-choose
沒裝 SSL 會被標示為「不安全 」,別讓您的網站不被信任
https://blog.cloudmax.com.tw/google-chrome
域名型 SSL (DVSSL) 和企業型 SSL (OVSSL),如何選擇?https://blog.cloudmax.com.tw/the-different-between-dvssl-and-ovssl
網站安全檢測,檢查您的 SSL 安裝是否正確
https://blog.cloudmax.com.tw/ssl-test
網站裝了 SSL 數位憑證就安全了嗎?
https://blog.cloudmax.com.tw/web-security-hackerscan

發表迴響