Разработчици на проекта Chromium направи промяна, което определя максималния живот на TLS сертификатите на 398 дни (13 месеца).

Условието важи за всички сертификати за публичен сървър, издадени след 1 септември 2020 г. Ако сертификатът не отговаря на това правило, браузърът ще го отхвърли като невалиден и ще отговори конкретно с грешка ERR_CERT_VALIDITY_TOO_LONG.

За сертификати, получени преди 1 септември 2020 г., доверието ще се запази и ограничен до 825 дни (2,2 години), като днес.

Преди това разработчиците на браузърите Firefox и Safari въведоха ограничения за максималната продължителност на живота на сертификатите. Промени също влиза в сила от 1 септември.

Това означава, че уебсайтове, използващи дълготрайни SSL/TLS сертификати, издадени след точката на прекъсване, ще генерират грешки в поверителността в браузърите.

Apple бяха първите, които обявиха новата политика на среща на форума CA/Browser през февруари 2020 г.. При въвеждането на новото правило Apple обеща да го приложи към всички устройства с iOS и macOS. Това ще окаже натиск върху администраторите и разработчиците на уебсайтове да гарантират, че техните сертификати са в съответствие.

Съкращаването на продължителността на живота на сертификатите се обсъжда от месеци от Apple, Google и други членове на CA/Browser. Тази политика има своите предимства и недостатъци.

Целта на този ход е да се подобри сигурността на уебсайта, като се гарантира, че разработчиците използват сертификати с най-новите криптографски стандарти и да се намали броят на стари, забравени сертификати, които потенциално биха могли да бъдат откраднати и използвани повторно при фишинг и злонамерени атаки. Ако нападателите успеят да разбият криптографията в стандарта SSL/TLS, краткотрайните сертификати ще гарантират, че хората преминават към по-сигурни сертификати след около година.

Съкращаването на срока на валидност на сертификатите има някои недостатъци. Беше отбелязано, че чрез увеличаване на честотата на подмяна на сертификати, Apple и други компании също правят живота малко по-труден за собствениците на сайтове и компаниите, които трябва да управляват сертификати и съответствие.

От друга страна, Let's Encrypt и други сертифициращи органи насърчават уеб администраторите да прилагат автоматизирани процедури за актуализиране на сертификати. Това намалява човешките разходи и риска от грешки, тъй като честотата на подмяна на сертификати се увеличава.

Както знаете, Let's Encrypt издава безплатни HTTPS сертификати, които изтичат след 90 дни и предоставя инструменти за автоматизирано подновяване. Така че сега тези сертификати се вписват още по-добре в цялостната инфраструктура, тъй като браузърите задават максимални граници на валидност.

Тази промяна беше подложена на гласуване от членовете на CA/Browser Forum, но решението не беше одобрен поради несъгласие на сертифициращите органи.

резултати

Гласуване на издателя на сертификат

За (11 гласа): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (бивш Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Против (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (бивш Trustwave)

Въздържал се (2): HARICA, TurkTrust

Сертификат за гласуване на потребителите

За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Срещу: 0

Въздържал се: 0

Сега браузърите прилагат тази политика без съгласието на сертифициращите органи.

Източник: www.habr.com