Chromium layihəsinin tərtibatçıları , TLS sertifikatlarının maksimum istifadə müddətini 398 günə (13 ay) təyin edir.
Şərt 1 sentyabr 2020-ci il tarixindən sonra verilmiş bütün ictimai server sertifikatlarına şamil edilir. Sertifikat bu qaydaya uyğun gəlmirsə, brauzer onu etibarsız sayaraq rədd edəcək və xüsusi olaraq xəta ilə cavab verəcək ERR_CERT_VALIDITY_TOO_LONG.
1 sentyabr 2020-ci il tarixinə qədər alınan sertifikatlar üçün etibar qorunacaq və (2,2 il), indiki kimi.
Əvvəllər Firefox və Safari brauzerlərinin tərtibatçıları sertifikatların maksimum istifadə müddətinə məhdudiyyətlər tətbiq ediblər. Dəyişin də .
Bu o deməkdir ki, kəsilmə nöqtəsindən sonra verilən uzun ömürlü SSL/TLS sertifikatlarından istifadə edən vebsaytlar brauzerlərdə məxfilik xətaları yaradacaq.
Apple yeni siyasəti ilk olaraq CA/Browser forumunun iclasında elan etdi . Yeni qaydanı təqdim edərkən Apple onu bütün iOS və macOS cihazlarına tətbiq edəcəyini vəd etdi. Bu, veb sayt administratorlarına və tərtibatçılarına onların sertifikatlarının uyğun olmasını təmin etmək üçün təzyiq göstərəcək.
Sertifikatların istifadə müddətinin qısaldılması Apple, Google və digər CA/Browser üzvləri tərəfindən aylardır müzakirə olunur. Bu siyasətin müsbət və mənfi tərəfləri var.
Bu hərəkətin məqsədi tərtibatçıların ən son kriptoqrafik standartlara malik sertifikatlardan istifadə etməsini təmin etməklə vebsayt təhlükəsizliyini yaxşılaşdırmaq və potensial olaraq oğurlana və fişinq və zərərli sürücü hücumlarında təkrar istifadə oluna bilən köhnə, unudulmuş sertifikatların sayını azaltmaqdır. Təcavüzkarlar SSL/TLS standartında kriptoqrafiyanı poza bilsələr, qısamüddətli sertifikatlar insanların təxminən bir il ərzində daha təhlükəsiz sertifikatlara keçməsini təmin edəcək.
Sertifikatların etibarlılıq müddətinin qısaldılmasının bəzi mənfi cəhətləri var. Qeyd edilmişdir ki, Apple və digər şirkətlər sertifikatların dəyişdirilməsi tezliyini artırmaqla sayt sahibləri və sertifikatları və uyğunluğu idarə etməli olan şirkətlərin həyatını bir az da çətinləşdirir.
Digər tərəfdən, Let's Encrypt və digər sertifikat agentlikləri veb ustalarını sertifikatların yenilənməsi üçün avtomatlaşdırılmış prosedurları həyata keçirməyə təşviq edirlər. Bu, sertifikatın dəyişdirilməsinin tezliyi artdıqca insan yükünü və səhv riskini azaldır.
Bildiyiniz kimi, Let's Encrypt 90 gündən sonra müddəti bitən pulsuz HTTPS sertifikatları verir və yeniləməni avtomatlaşdırmaq üçün alətlər təqdim edir. Beləliklə, indi bu sertifikatlar ümumi infrastruktura daha yaxşı uyğun gəlir, çünki brauzerlər maksimum etibarlılıq limitlərini təyin edir.
Bu dəyişiklik CA/Browser Forum üzvləri tərəfindən səsə qoyuldu, lakin qərar .
Tapıntılar
Sertifikat verənin səsverməsi
Üçün (11 səs): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (əvvəllər Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Qarşı (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure (Secure) Trustwave)
Bitərəf qaldı (2): HARICA, TurkTrust
Sertifikat istehlakçılarının səsverməsi
(7) üçün: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Qarşıdurma: 0
Bitərəf qaldı: 0
Brauzerlər indi sertifikat orqanlarının razılığı olmadan bu siyasəti tətbiq edirlər.
Mənbə: www.habr.com