在上一次CA/Brower论坛会议上，Chrome概述了其对未来网络PKI政策的愿景，标题为“共同前进”。值得注意的是，Chrome的愿景包括90天的证书有效期，我们在另一篇文章中对此进行了深入探讨。然而，Chrome的愿景中还有其他与客户相关的政策建议，包括根证书颁发机构（CA）的期限限制和中间证书颁发机构证书（ICAs）的最长有效期。

Chrome在其公告中表示，他们正在探索与以下内容相关的未来政策要求：

鼓励现代基础设施和灵活性

● 注重简洁

● 促进自动化

● 减少错误发布

● 加强问责制和生态系统的完整性

● 精简和改进领域验证实践

● 为后量子世界做准备

在DigiCert，我们支持Chrome“让互联网成为一个更安全的地方”的目标。然而，我们也认识到安全性和可管理性之间存在平衡。正如我们在关于90天证书的帖子中所提到的，虽然我们过去支持更短的证书生命周期，但90天对于受损的证书来说太长了，但对于行业转型和域名注册来说太短了。探索其他可以鼓励并使客户转向真正的短期证书的选项将更有意义。

同样，Chrome建议每七年轮换一次根CA，其他ICAs的最长有效期为三年。目前，根CA每25年轮换一次，ICA的寿命是无限的。虽然我们过去支持缩短ICA的使用寿命，但确切的使用期限应该在安全性和实用性之间取得有意义的平衡。让我们深入研究一下。

什么是根和ICAs？

根证书是一种自签名证书，它将CA的身份绑定到其根公钥，根公钥是它用来对其分发的所有其他ICAs进行签名的公钥。ICA证书包含用于对其他ICAs或最终实体证书进行签名的公钥，以及关于CA遵守什么策略、签署什么类型的证书、根据根颁发证书以及相关标识等的其他元数据。

最终实体证书和ICA证书从签名者那里获得信任，签名者证明其中的所有信息都是有效和正确的，并且可以信任。根证书无法通过包含在浏览器根程序的受信任根证书列表中来证明其自身的可信度并获得信任。

根证书需要在所有根程序中可用，并分发到绝大多数平台，才能被客户依赖。这个过程通常被称为获得无处不在，很容易需要几年时间。因此，根证书通常具有最长的生命周期，而 SSL 证书具有最短的生命周期。

为什么要轮换它们？

轮换ICAs的原因是为了确保符合现代标准，这与轮换最终实体证书是一个好主意的原因相同。政策不时变化和改进，出于兼容性的原因，行业通常会在未来的基础上做出政策改变。ICA轮换可以确保这些政策改进在合理的时间范围内传播到所有ICA。因此，较短的ICA周期并不总是一件坏事，特别是考虑到目前的限制是永远的。

对于根系来说，轮作的好处还不太清楚。如上所述，根故意包含很少的信息，因为它们旨在提供一种长期的方法来验证特定ICA是否属于根程序中的特定可信CA。虽然一些历史根源是在一个宽松得多的合规环境中产生的，有些甚至可能在审计覆盖范围上存在差距，而且它们的消失对生态系统有好处，但根源转变是复杂的，需要权衡收益与风险。特别是，从历史上看，根程序引入新根的速度一直很慢，这需要大幅改善，才能实现谷歌从创建根到普及仅两年的愿景。根埋置目前需要三年时间，而根的普遍性需要三年的时间，因此最长七年的根寿命是不现实的。尽管谷歌可能能够更快地嵌入根，但网络PKI的一个价值是根在整个生态系统中的分布。对于通过Chrome、苹果和Mozilla访问您网站的用户，您不需要单独的根目录。这意味着根旋转的速度仅与用户代理根存储中最慢的成员一样快。其中一些用户代理没有参加CA/B论坛，也没有表示需要快速的根目录轮换。

有一种方法可以绕过根部嵌入的漫长过程：在包装中添加额外的链条。实际上，你至少需要一个四链根才能使计划生效。首先，一个连接所有事物的主根，赋予其普遍性。其次，在Chrome和其他快速更新的浏览器中嵌入一个根。第三，颁发最终实体证书的颁发CA。这种设计的问题在于，它对所有用户代理都不利，有利于Chrome。任何使用长链的人都会比使用快速根替换的人体验到较慢的速度。请注意，这实际上不会加快TLS连接的速度；这只会让每一个没有参与该项目的代理都慢下来。

旋转根和 ICA 具有破坏性，尤其是对于那些使用固定的

根目录和 ICA 的轮换会严重影响客户，并且可能对行业造成极大的破坏，因为它通常涉及对受影响的服务器进行手动更新。此外，尽管 DigiCert 强烈建议不要固定，但许多客户固定根和 ICA。证书固定风险极大，如果密钥泄露，证书无法被替换，使黑客能够对网站造成长期损害，并使证书问题难以响应。谷歌实际上是最早在 2011 年使用证书固定的公司之一，但没过多久证书固定的风险就变得显而易见了。使用证书固定的客户无论如何都应该尽快停止这种做法，但是关于根和 ICA 更频繁轮换的讨论再次提醒那些目前停止固定的人。

结论

最后，请记住，这些政策没有得到保证，CA/B论坛也没有投票表决。此外，任何行业变化都将提前沟通，以便公司有时间适应。然而，Chrome的愿景确实值得业界围绕这些问题进行讨论。Chrome也在Chrome根程序中接受对其提案的反馈 [在] 谷歌 [点] com和CA所有者的CCADB调查。我们将继续在CA/B论坛和其他地方的持续讨论中维护客户的最大利益，与Chrome和CA/B论坛的其他成员合作，使互联网成为一个更安全的地方。

本文由 聚力诚信 根据 Digicert 博客

GOOGLE’S MOVING FORWARD TOGETHER PROPOSALS FOR ROOT CA POLICY: ROTATING ICAS MORE FREQUENTLY

编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。