Ontwikkelaars van die Chromium-projek , wat die maksimum leeftyd van TLS-sertifikate op 398 dae (13 maande) stel.
Die voorwaarde is van toepassing op alle publieke bedienersertifikate wat na 1 September 2020 uitgereik is. As die sertifikaat nie by hierdie reΓ«l pas nie, sal die blaaier dit as ongeldig verwerp en spesifiek met 'n fout reageer ERR_CERT_VALIDITY_TOO_LONG.
Vir sertifikate wat voor 1 September 2020 ontvang is, sal vertroue gehandhaaf word en (2,2 jaar), soos vandag.
Voorheen het die ontwikkelaars van die Firefox- en Safari-blaaiers beperkings op die maksimum lewensduur van sertifikate ingestel. Verander ook .
Dit beteken dat webwerwe wat langlewe SSL/TLS-sertifikate gebruik wat na die afsnypunt uitgereik is, privaatheidsfoute in blaaiers sal gooi.
Apple was die eerste wat die nuwe beleid tydens 'n vergadering van die CA/Browser-forum aangekondig het . Toe die nuwe reΓ«l bekendgestel is, het Apple belowe om dit op alle iOS- en macOS-toestelle toe te pas. Dit sal druk op webwerf-administrateurs en -ontwikkelaars plaas om te verseker dat hul sertifisering voldoen.
Die verkorting van die lewensduur van sertifikate word al maande lank deur Apple, Google en ander CA/Blaaier-lede bespreek. Hierdie beleid het sy voordele en nadele.
Die doel van hierdie stap is om webwerfsekuriteit te verbeter deur te verseker dat ontwikkelaars sertifikate met die nuutste kriptografiese standaarde gebruik, en om die aantal ou, vergete sertifikate wat moontlik gesteel en hergebruik kan word in uitvissing en kwaadwillige deurry-aanvalle te verminder. As aanvallers die kriptografie in die SSL/TLS-standaard kan breek, sal kortstondige sertifikate verseker dat mense oor ongeveer 'n jaar na veiliger sertifikate oorskakel.
Die verkorting van die geldigheidstydperk van sertifikate hou 'n paar nadele in. Daar is opgemerk dat deur die frekwensie van sertifikaatvervangings te verhoog, Apple en ander maatskappye ook die lewe 'n bietjie moeiliker maak vir webwerf-eienaars en maatskappye wat sertifikate en voldoening moet bestuur.
Aan die ander kant, Let's Encrypt en ander sertifikaatowerhede moedig webmeesters aan om outomatiese prosedures vir die opdatering van sertifikate te implementeer. Dit verminder menslike bokoste en die risiko van foute namate die frekwensie van sertifikaatvervanging toeneem.
Soos u weet, reik Let's Encrypt gratis HTTPS-sertifikate uit wat na 90 dae verval en bied gereedskap om hernuwing te outomatiseer. So nou pas hierdie sertifikate selfs beter in die algehele infrastruktuur, aangesien blaaiers maksimum geldigheidslimiete stel.
Hierdie verandering is tot stemming gebring deur lede van die GR/Blaaierforum, maar die besluit .
Bevindinge
Sertifikaatuitreiker Stemming
Vir (11 stemme): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (voorheen Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Teen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (voormalige Trustwave)
Onthou (2): HARICA, TurkTrust
Sertifikaat verbruikers stem
Vir (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
teen: 0
Onthou: 0
Blaaiers dwing nou hierdie beleid af sonder die toestemming van sertifikaatowerhede.
Bron: will.com