EFF 工程总监周四在一篇新博客文章中回忆道,10 年前,“证书颁发机构通常会颁发有效期为一年或更长的证书”。因此,2015 年,当免费证书颁发机构 Let’s Encrypt 首次开始为网站颁发 90 天 TLS 证书时,“这被认为是一个大胆的举措,有助于推动生态系统缩短证书生命周期。”今年 1 月,Let’s Encrypt 宣布了新的六天证书……本周,EFF 工程总监发布了相关公告。超过 3100 万个网站使用 EFF 的 Certbot 工具(该工具会永远自动获取免费的 HTTPS 证书)维护其 HTTPS 证书,而 Certbot 现在支持 Let’s Encrypt 的六天证书。 (这是通过 ACME 配置文件完成的,如果生命周期短于 10 天,则动态更新为生命周期的 1/3 或剩余生命周期的 1/2):关于这些生命周期应该多短存在争议,但使用 ACME 配置文件,您可以拥有默认或“经典”的 Let’s Encrypt 体验(90 天),或者通过带有 –preferred-profile 和 –required-profile 标志的 Certbot 开始积极使用其他配置文件类型。对于六天证书,您可以选择“短期”配置文件。为什么寿命越短越好(根据 EFF 工程总监的说法):如果证书的私钥被泄露,那么这种泄露就不会持续太久。由于证书的有效期较短,因此鼓励自动化。这有利于 Web 服务器的强大安全性。证书吊销历来都是不稳定的。 10 天及以下的生命周期可以防止调用撤销过程并处理继续使用受损密钥的情况。
在 Slashdot 上阅读这个故事的更多内容。