访问网站浏览器出现隐私错误,类似出现这样的警告:“你的连接不是专用连接,攻击者可能试图从网站截取你的信息(例如,密码、消息或信用卡)。”
看到这个警告其实不要太恐慌,那是因为网站的域名证书过期了,点击高级然后点击继续访问就可以正常访问了。
为什么域名证书过期了就会显示不安全呢?域名过期只是有可能不安全,并不是真的不安全。通俗的解释就是你的身份证过期了,你妈不能证明是你妈!别人想冒充你妈还是有点难度的。
域名证书就像身份证一样,域名证书过期了那个域名证书它还在那里。只是因为随着技术的进步,新技术有可能更容易攻破以前的旧技术,更容易伪造一个旧的域名证书而已。
所以出于安全考虑,域名证书设置有效期。过期就提示更换一下,过期的域名证书还可以继续使用,但是浏览器会强制警告提示,非常影响用户体验,迫使你更新域名证书。
其实这其中的逻辑就是让可能存在的的漏洞暴露的周期足够短,攻击者在有限的时间内发现不了漏洞或发现漏洞已经被修复了就自然攻击不了了。理论上就让第三方监听更难于实现,对用户来说是一件好事。
那域名有效期是不是越短越好呢?肯定不是,比如你使用的密码,理论上一次性密码更安全,你会每个网站的账号使用一次性密码吗?估计过一段时间还没等到别人破解你的密码,你自己却忘记密码了。这种一次性的短时间密码设定纯属是给自己找麻烦。
说回域名证书,它是由专门的CA机构颁发的,现在域名证书最长有效期是13个月,是CA组织与浏览器厂商妥协的结果。浏览器厂商更倾向于短有效期的域名证书,CA组织则希望更长的有效期,这样管理起来更省事。保存私钥不泄露本来就是网站管理者分内事,CA证书本身也是非常安全的,没有那么多漏洞可发现利用。
网站管理者跟CA机构看法一样,虽然更短的域名证书有效期理论上会更安全,但是会带来管理成本的增加。作为网站管理者,肯定不希望隔几天就升级一下域名证书,那不得烦死人。
虽然最后CA与浏览器厂商妥协的结果是域名证书最长有效期设置为13个月。但是,实际情况可能更短,比如我使用的免费域名证书有效期就是6个月,6个月很快就过期了,感觉很快就要重新申请一下,真的挺烦人的。
