Apple 提案要再將 TLS certificate 的有效期降到 45 天？

在「Sysadmins rage over Apple’s ‘nightmarish’ SSL/TLS cert lifespan cuts」這邊看到的，提案細節可以在 GitHub 上看到：「SC-081: Introduce Schedule of Reducing Validity and Data Reuse Periods #553」。

這馬上讓我想到 2020 年當時 Apple 的獨幹行為，然後其他瀏覽器廠商也跟進：「TLS 憑證的最長時效將從 825 天降到 398 天」。

另外補上 2017 年的時候，TLS certificate 決定從 1185 天 (約 39 個月) 降到 825 天 (約 27 個月) 當時寫下的記錄：「未來 SSL Certificate 的最大有效時間將降到 825 天」。

將低有效期通常被提出來的考量是避免 key 在秘密洩漏後沒發現，但我一直覺得這個理由是個假議題：你沒有找出洩漏的原因，後續的 key 還是存在一樣的風險。

另外一個也常被提出來的原因是 revoke 的成本太高，但邏輯不通：遇到 leak 就是需要 revoke，沒有放在那邊擺爛等過期的，所以你本來就會需要設計 revoke 的機制。

我覺得合理的原因只有對簽名演算法的攻擊有重大進展時 (像是目前在用的 RSA 或是 ECC)，這時候就得更新簽名演算法的要求了。

考慮到這個理由，從超長的八年降到三年，然後再降到兩年，我覺得都還算合理 (而且也可以看到 CA 方在投票也沒有反對)。

後來降到一年我覺得時程上有點緊張，對於極度嚴謹的單位，security library 的更新會牽扯到 compliance 甚至是 auditing，然後後續的改寫以及測試也會有類似的問題，但大方向我覺得還可以。

但這次提案降到 45 days，我的解讀是要打擊手動更換憑證的手段，這個就值得商榷了：能夠用 ACME 之類的手段自動更新當然很好，但否定手動更新的需求是否合理？

接下來看看其他瀏覽器與 CA 的表態了...