Распрацоўнікі праекта Chromium , якое устанаўлівае максімальны тэрмін жыцця TLS-сертыфікатаў у 398 дзён (13 месяцаў).
Умова дзейнічае для ўсіх публічных серверных сертыфікатаў, выдадзеных пасля 1 верасня 2020 гады. Калі сертыфікат не адпавядае гэтаму правілу, браўзэр будзе абвяргаць яго як несапраўдны, а канкрэтна адказваць памылкай ERR_CERT_VALIDITY_TOO_LONG.
Для атрыманых да 1 верасня 2020 года сертыфікатаў давер будзе захаваны і (2,2 гады), як сёння.
Раней абмежаванне на максімальны тэрмін жыцця сертыфікатаў унеслі распрацоўшчыкі браўзэраў Firefox і Safari. Змена таксама .
Гэта азначае, што вэб-сайты, якія выкарыстоўваюць сертыфікаты SSL/TLS з працяглым тэрмінам службы, выпушчаныя пасля кропкі адсячэння, будуць выдаваць памылкі канфідэнцыйнасці ў браўзэрах.
Першай новую палітыку аб'явіла Apple на пасяджэнні форуму CA/Browser . Укараняючы новае правіла, Apple паабяцала прымяняць яго на ўсіх прыладах iOS і macOS. Гэта акажа ціск на адміністратараў вэб-сайтаў і распрацоўшчыкаў, каб іх сертыфікаты адпавядалі патрабаванням.
Скарачэнне тэрміна службы сертыфікатаў ужо некалькі месяцаў абмяркоўваецца Apple, Google і іншымі ўдзельнікамі CA/Browser. Гэтая палітыка мае свае перавагі і недахопы.
Мэта гэтага кроку - павысіць бяспеку вэб-сайта, пераканаўшыся, што распрацоўшчыкі выкарыстоўваюць сертыфікаты з найноўшымі крыптаграфічнымі стандартамі, і паменшыць колькасць старых, забытых сертыфікатаў, якія патэнцыйна могуць быць скрадзеныя і паўторна выкарыстаныя для фішынгу і шкоднасных нападаў drive-by. Калі зламыснікі змогуць узламаць крыптаграфію ў стандарце SSL/TLS, недаўгавечныя сертыфікаты забяспечаць людзям пераход на больш бяспечныя сертыфікаты прыкладна праз год.
Скарачэнне тэрміна дзеяння сертыфікатаў мае некаторыя недахопы. Было адзначана, што, павялічваючы частату замены сертыфікатаў, Apple і іншыя кампаніі таксама крыху ўскладняюць жыццё уладальнікам сайтаў і кампаніям, якія павінны кіраваць сертыфікатамі і адпаведнасцю патрабаванням.
З іншага боку, Let's Encrypt і іншыя цэнтры сертыфікацыю стымулююць вэб-майстроў укараняць аўтаматызаваныя працэдуры для абнаўлення сертыфікатаў. Гэта памяншае чалавечыя накладныя выдаткі і рызыка памылак па меры павелічэння частаты замены сертыфікатаў.
Як вядома, Let's Encrypt выдае бясплатныя HTTPS-сертыфікаты, тэрмін дзеяння якіх заканчваецца праз 90 дзён, і дае прылады для аўтаматызацыі падаўжэння. Так што зараз гэтыя сертыфікаты яшчэ лепш упісваюцца ў агульную інфраструктуру - па меры таго, як браўзэры ўсталёўваюць абмежаванне на максімальны тэрмін дзеяння.
Дадзеная змена была выстаўлена на галасаванне ўдзельнікамі асацыяцыі CA/Browser Forum, але рашэнне .
Вынікі
Галасаванне выдаўцоў сертыфікатаў
За (11 галасоў): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (былы Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Супраць (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofessional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, Tru Trustwave)
Устрымаліся (2): HARICA, TurkTrust
Галасаванне спажыўцоў сертыфікатаў
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
супраць: 0
Устрымалася: 0
Цяпер браўзэры прымусова ўводзяць гэтую палітыку без згоды якія сведчаць цэнтраў.
Крыніца: habr.com