S/MIME 的(不断发展的)要求和创建标准的尝试
大家可能都知道,公众信任的证书颁发机构(CA)必须满足严格的要求,才能获得(并保持)公众信任的资格。除了 CA 本身之外,还有许多利益相关者;每个人都希望确保证书签发的做法是安全的,PKI 可以继续在全球网络安全中发挥重要作用。CA/B 浏览器论坛(CA/B Forum)及其专门工作组是管理 CA 必须满足的要求的最重要机构之一。CA/B 论坛工作组发布公众信任的 SSL/TLS 和代码签名证书的官方要求已经有一段时间了。CA 必须遵守这些要求,否则很容易失去公众的信任。
还有S/MIME 证书。近年来,S/MIME 证书的商业意义越来越大,许多大公司已开始利用公众信任的 S/MIME 证书来签署和加密电子邮件。由于缺乏行业标准和指导,CA 和电子邮件客户端应用程序开始为证书配置文件和内容制定自己的规则,其中有些规则相互冲突。为解决这一问题,CA/B 论坛下成立了 S/MIME 工作组。该工作组正在寻求将证书配置文件标准化,使其得到更统一的接受,从而实现更广泛的互操作性。
时代变迁
正在讨论的一个关键标准是 S/MIME 证书的有效期--事实上,一些电子邮件客户端已经要求缩短有效期(见下图)。在过去几年中,SSL/TLS 允许的最长证书有效期已从 5 年减至 3 年再减至 13 个月,这一变化被普遍认为对整体安全性非常有利。
图片来源: https://support.google.com/a/answer/7300887#zippy=%2Cend-entity-certificate
在此,有必要澄清:缩短证书有效期是我们 GlobalSign 完全同意的做法。缩短有效期有一个普遍的理由。缩短证书有效期可以提高 “加密灵活性”。简单地说,更频繁地交换密钥材料意味着更频繁地缓解加密弱点,减少密钥泄露的影响。
不过,与 SSL/TLS 相比,S/MIME 证书的自动注册并不像 SSL/TLS 的 ACME 那样得到支持,这只是一个例子。此外,在企业中全面推广 S/MIME 证书通常意味着要在比 SSL/TLS 证书更多的设备上进行安装和配置。因此,管理员可以从更长的有效期中获益,因为他们可以减少手动支持证书更新的工作量--这就是 “更长 ”有效期的一个理由。
这些不断演变的标准会对客户产生什么影响?我们将何去何从?
GlobalSign 是上述 CA/B 论坛 S/MIME 工作组的代表,并积极努力为 S/MIME 证书制定大家都能同意的标准。与此同时,GlobalSign 在支持企业证书生命周期管理方面不断创新。GlobalSign 的证书自动化管理器消除了 S/MIME 证书更新中的大量 “手动 ”工作,因此完美地支持了我们缩短 S/MIME 和其他类型证书有效期的愿景。
目前: 如果所有电子邮件客户端的信任是您最关心的问题,请考虑购买最长有效期为 825 天(约 27 个月)的 S/MIME 证书。如果您还没有准备好实现证书生命周期管理自动化,并希望尽可能减少更新时的人工开销,也不必担心。在可预见的未来,我们将继续提供有效期为 3 年的 S/MIME 证书。无论未来几年会出现什么变化(会出现的),请放心,我们 GlobalSign 将很乐意协助您使用值得信赖的加密敏捷解决方案来保护您的业务。
编者注:本博客最初发表于 2021 年 4 月,后经审核,以确保内容符合行业标准、规定和见解。
