苹果最近宣布计划将TLS证书的有效期限降低至398天,这一变化随后被谷歌和Firefox效仿。
我理解减少TLS证书到期时间限制的所有合理原因。由于CA机构历史上在吊销被盗证书方面表现不佳,因此有了像Let's Encrypt这样的工具,您现在可以每个月免费自动旋转证书并使用cronjob,频繁更换TLS证书意味着试图解密已记录的HTTPS流量的攻击者只有一个有限的信息窗口(如果成功),而他发现的密钥在那个有限的窗口之外是无用的(增加计算资源来破解HTTPS)等。
但是,我不明白为什么398天成为了协商达成的TLS证书期限。为什么不是365天?为什么不是400天?398天基于什么?