مطورو مشروع الكروم ، والذي يحدد الحد الأقصى لعمر شهادات TLS بـ 398 يومًا (13 شهرًا).
ينطبق الشرط على جميع شهادات الخادم العام الصادرة بعد 1 سبتمبر 2020. إذا كانت الشهادة لا تتطابق مع هذه القاعدة، فسيرفضها المتصفح باعتبارها غير صالحة ويستجيب على وجه التحديد بخطأ ERR_CERT_VALIDITY_TOO_LONG.
بالنسبة للشهادات المستلمة قبل 1 سبتمبر 2020، سيتم الحفاظ على الثقة و (2,2 سنة)، مثل اليوم.
في السابق، قدم مطورو متصفحات Firefox وSafari قيودًا على الحد الأقصى لعمر الشهادات. التغيير أيضا .
وهذا يعني أن مواقع الويب التي تستخدم شهادات SSL/TLS طويلة العمر الصادرة بعد نقطة القطع ستؤدي إلى حدوث أخطاء تتعلق بالخصوصية في المتصفحات.
وكانت شركة Apple أول من أعلن عن السياسة الجديدة في اجتماع منتدى CA/Browser . وعند تقديم القاعدة الجديدة، وعدت شركة آبل بتطبيقها على جميع أجهزة iOS وmacOS. سيؤدي هذا إلى الضغط على مسؤولي ومطوري مواقع الويب لضمان توافق شهاداتهم.
تمت مناقشة تقصير عمر الشهادات لعدة أشهر بواسطة Apple وGoogle وأعضاء CA/Browser الآخرين. هذه السياسة لها مزاياها وعيوبها.
الهدف من هذه الخطوة هو تحسين أمان موقع الويب من خلال ضمان استخدام المطورين للشهادات بأحدث معايير التشفير، وتقليل عدد الشهادات القديمة المنسية التي من المحتمل أن تتم سرقتها وإعادة استخدامها في هجمات التصيد الاحتيالي والهجمات الضارة. إذا تمكن المهاجمون من كسر التشفير في معيار SSL/TLS، فإن الشهادات قصيرة العمر ستضمن تحول الأشخاص إلى شهادات أكثر أمانًا في غضون عام تقريبًا.
إن تقصير فترة صلاحية الشهادات له بعض العيوب. وقد لوحظ أنه من خلال زيادة وتيرة استبدال الشهادات، تعمل شركة Apple والشركات الأخرى أيضًا على جعل الحياة أكثر صعوبة بالنسبة لأصحاب المواقع والشركات التي يجب عليها إدارة الشهادات والامتثال.
ومن ناحية أخرى، تشجع Let's Encrypt والمراجع المصدقة الأخرى مشرفي المواقع على تنفيذ إجراءات تلقائية لتحديث الشهادات. يؤدي ذلك إلى تقليل العبء البشري ومخاطر الأخطاء مع زيادة تكرار استبدال الشهادة.
كما تعلم، تصدر Let's Encrypt شهادات HTTPS مجانية تنتهي صلاحيتها بعد 90 يومًا وتوفر أدوات لأتمتة التجديد. والآن تتلاءم هذه الشهادات بشكل أفضل مع البنية التحتية الشاملة حيث تقوم المتصفحات بتعيين الحد الأقصى لحدود الصلاحية.
تم طرح هذا التغيير للتصويت من قبل أعضاء CA/Browser Forum، ولكن القرار .
النتائج
تصويت جهة إصدار الشهادة
ل (11 صوت): Amazon، Buypass، Certigna (DHIMYOTIS)، certSIGN، Sectigo (Comodo CA سابقًا)، eMudhra، Kamu SM، Let's Encrypt، Logius، PKIoverheid، SHECA، SSL.com
ضد (20): Camerfirma، Certum (Asseco)، CFCA، Chunghwa Telecom، Comsign، D-TRUST، DarkMatter، Entrust Datacard، Firmaprofesional، GDCA، GlobalSign، GoDaddy، Izenpe، Network Solutions، OATI، SECOM، SwissSign، TWCA، TrustCor، SecureTrust (سابقًا موجة الثقة)
امتنع (2): هاريكا، تورك تراست
شهادة تصويت المستهلكين
ل (7): أبل، سيسكو، جوجل، مايكروسوفت، موزيلا، أوبرا، 360
ضد: 0
امتنع: 0
تقوم المتصفحات الآن بتطبيق هذه السياسة دون موافقة سلطات التصديق.
المصدر: www.habr.com