8vt*_*two 20 security encryption google-chrome certificate ssl
因此,在得知Firefox 允许开发人员访问并查看 SSL 证书信息后,我很高兴地从 Chrome 切换到 Firefox 并安装了Certificate Watch。我必须排除该插件的站点,以阻止它在每次关闭浏览器时擦除其网络存储,但我注意到:SSL 证书的更改频率比我预期的要频繁。
现在serverfault.com是一个例外。它正在适当地更改证书(每 3 个月),这看起来完全正常并且绝对按计划进行。发行人没有改变或有任何奇怪的事情。
serverfault.com Validity changed
Stored: From: 2021-09-15 10:07:09 (*20 days ago*)
Until: 2021-12-14 09:07:08 (in 70 days)
New: From: 2021-10-04 13:19:09 (*1 day ago*)
Until: 2022-01-02 12:19:08 (in 89 days)
Fingerprint changed
但是superuser.com发生了什么?
superuser.com Validity changed
Stored: From: 2021-09-15 10:07:09 (20 days ago)
Until: 2021-12-14 09:07:08 (*in 70 days*)
New: From: 2021-10-04 13:19:09 (*1 day ago*)
Until: 2022-01-02 12:19:08 (in 89 days)
Fingerprint changed
他们提前 70 天更改了证书,只是为了给他们额外的 20 天?为什么要这么做?
Duckduckgo.com仍在对 SSL 证书进行传统的 1 年转换:
duckduckgo.com Issuer changed
Stored:CN=DigiCert SHA2 Secure Server CA, O=DigiCert Inc, C=US
New:CN=DigiCert TLS RSA SHA256 2020 CA1, O=DigiCert Inc, C=US
duckduckgo.com Validity changed
Stored: From: 2021-06-30 21:00:00 (96 days ago)
Until: 2021-11-25 19:59:59 (*in 51 days*)
New: From: 2021-10-01 21:00:00 (*3 days ago*)
Until: 2022-11-02 20:59:59 (in 393 days)
Fingerprint changed
他们提前 21 天进行了年份更改,这似乎是 SSL 证书的正常好日子。他们的发行人发生了变化,但看起来这只是名称维护。对于我们大多数普通的网络管理员来说,这似乎是过去的样子。
我的问题更多的是像Google和YouTube这样的网站,所有 Google 网站确实都这样做,他们看起来很疯狂,每个月初随机更改它们。所有 Google 域看起来都是这样,YouTube 也是如此(帐户、gstatic,一切)。就像他们构建了这个系统,可以在所有平台上快速循环使用 SSL 证书。
www.google.com Validity changed
Stored:From: 2021-08-30 00:55:24 (36 days ago)
Until: 2021-11-21 23:55:23 (*in 48 days*)
New:From: 2021-09-13 01:07:13 (*22 days ago*)
Until: 2021-11-20 00:07:12 (in 46 days)
Fingerprint changed
youtube.com Validity changed
Stored:From: 2021-08-29 22:36:08 (36 days ago)
Until: 2021-11-21 21:36:07 (*in 48 days*)
New:From: 2021-09-12 22:38:37 (*22 days ago*)
Until: 2021-11-19 21:38:36 (in 46 days)
Fingerprint changed
为什么 Google 和其他一些网站的证书轮换速度如此之快?他们制作了 90 天,然后中途更换。
他们的发行人没有改变,所以显然仍然是他们。他们只是额外偏执还是什么?他们是否了解 SSL 证书而我们不了解其寿命?我记得您曾经购买过 RSA 4096,并且可以使用至少一年。
他们每个月都会改变它们。
每周都有不同的证书需要多长时间?或者为什么不是每个请求?那么我们就只能依靠他们“信任”的权威了。
如果该插件还可以记录正在更改的证书类型(TLS_AES_128_GCM_SHA256,128 位),那将是一个很好的增强。了解证书更改如何与所使用的加密套件相关将会很有趣。
有什么想法、想法或理由吗?加密领域是否出现了 RSA 4096 一年都不够用的情况?
编辑:我只是想发布今天发生的令人震惊的证书更改的附录,这让我大吃一惊。21年10月6日
我昨天刚刚提到的Duckduckgo.com在 4 天前放置了 1 年期证书,现在已将其更改为以下内容:
Issuer changed
Stored: CN=DigiCert TLS RSA SHA256 2020 CA1, O=DigiCert Inc, C=US
New:CN=DigiCert SHA2 Secure Server CA, O=DigiCert Inc, C=US
Validity changed
Stored: From: 2021-10-01 21:00:00 (4 days ago)
Until: 2022-11-02 20:59:59 (*in 392 days*)
New:From: 2021-06-30 21:00:00 (97 days ago)
Until: 2021-11-25 19:59:59 (*in 50 days*)
Fingerprint changed
看起来他们将 1 年 SSL 证书改回了旧证书,4 天后还剩 50 天!日期和颁发者都与旧证书一致。但为什么?
这是今天刚刚发生的事情!
谁能对此提供解释?更多的人需要查看这个扩展,这些证书变化观察起来是如此疯狂和有趣!
我讨厌对这些事情进行阴谋,但这些变化很奇怪,而且有很多。如果我注意到这里和那里有一些奇怪的事情,我就不会发布......这些证书更改是疯狂的,并且它们一直在很多网站上发生。
是的,我知道“也许 4 天后在某处发现了一些兼容性错误”。
use*_*686 52
\n\n但是 superuser.com 发生了什么?他们提前 70 天更改了证书,只是为了给他们额外的 20 天?为什么要这么做?
\n
您可能正在查看两个不同的服务器(负载平衡),它们彼此独立地更新其证书。
\n(这里的关键点是服务器更新自己的证书。这不是系统管理员手动获取证书并进行循环。因此,不同的服务器可能有不同的证书,并在不同的时间更新它们,这不是问题。)
\n也可能是由于上周五的 Let's Encrypt 验证链问题,管理员确实故意启动了续订(例如,尝试切换到两个可用链中的不同链,并且执行续订是实现此目的的更简单方法,而不是而不是手动摆弄证书)。例如,我知道我确实在自己的服务器上使用过certbot renew --force-renew,这样 Certbot 就会设置 ISRG 作为根链,而不是 DST 交叉签名链。
\n\n我的问题更多的是像 Google 和 YouTube 这样的网站,所有 Google 网站确实都这样做,他们看起来很疯狂,每个月初随机更改它们。
\n
当谈到 Google 和 YouTube 时,您现在肯定会看到几个不同的服务器处理自己的证书。
\n据我所知,事实上,早在 Let's Encrypt 实现证书自动化之前,Google 就已经在推动证书自动化了。他们甚至有文章讨论如何利用自己的 CA (GTS) 来实现自动的、短期的证书。(不幸的是,我再也找不到这些文章了。)
\n\n\n他们每个月都会改变它们
\n
他们是。您没有具体说明为什么这是一个问题。
\n我的意思是,您已经必须相信 CA 能够正确颁发证书,无论是每周一次还是每年一次。您已经无法知道任何给定的更改是否合法。
\n每当您看到突然的证书更改时,您无法仅从证书不同这一事实来区分管理员点击“强制更新”或从旧的网络服务器迁移到新的网络服务器与恶意发生的事情。你所达到的只是“警报疲劳”。
\n\n\n加密领域是否出现了 RSA 4096 一年都不够用的情况?
\n
撤销或缺乏撤销。
\n例如,事实证明,如果证书被泄露(例如,您的网络服务器被黑客攻击),则很难可靠地撤销它。让浏览器定期下载每个 CA 的 CRL(撤销列表)在实践中效果并不理想,特别是在电池寿命或只读存储有限的设备上。(由于 CRL 必须继续列出已吊销的证书直至其自然到期,因此它们可能会增长到数十兆字节!)
\n让浏览器通过 OCSP 与发行者核对既是隐私问题也是可靠性问题。(想象一下,每次有人访问任何使用 SomeCA 的站点时,SomeCA 都会收到通知。并想象一下,每当 SomeCA 由于无法执行吊销检查而宕机时,所有这些站点都将变得无法访问。)Mozilla 尝试了集中聚合的“OneCRL”,但这涵盖了有些问题,它无法处理下一个问题。
\n另一个问题是,当域名被撤销时,这些证书不会被撤销。假设有人获得了某个域名的 3 年期证书,然后几周后就把该域名卖给了您。好吧,他们还有 3 年证书!
\n因此,普遍的观点是,以 \xe2\x80\x93 开头的证书不应该持续那么长时间,甚至可能持续几周,而不是几年。
\nSte*_*ich 12
如今,更新证书和安装新版本通常是自动化的。此外,还可以从 CA 免费获取新证书,例如 Let's Encrypt。这意味着经常更改证书不会产生重大成本。但在证书过期之前更新证书可以提供更高的稳健性,因为万一出现问题,人们有足够的时间来解决这些问题。
| 归档时间: |
|
| 查看次数: |
7167 次 |
| 最近记录: |