Разработчики проекта Chromium внесли изменение, которое устанавливает максимальный срок жизни TLS-сертификатов в 398 дней (13 месяцев).

Условие действует для всех публичных серверных сертификатов, выданных после 1 сентября 2020 года. Если сертификат не соответствует этому правилу, браузер будет отвергать его как недействительный, а конкретно отвечать ошибкой ERR_CERT_VALIDITY_TOO_LONG.

Для полученных до 1 сентября 2020 года сертификатов доверие будет сохранено и ограничено 825 днями (2,2 года), как сегодня.

Ранее ограничение на максимальный срок жизни сертификатов внесли разработчики браузеров Firefox и Safari. Изменение тоже вступает в силу с 1 сентября.

Это означает, что веб-сайты, использующие сертификаты SSL/TLS с длительным сроком службы, выпущенные после точки отсечения, будут выдавать ошибки конфиденциальности в браузерах.

Первой новую политику объявила Apple на заседании форума CA/Browser в феврале 2020 года. Внедряя новое правило, Apple пообещала применять его на всех устройствах iOS и macOS. Это окажет давление на администраторов веб-сайтов и разработчиков, чтобы их сертификаты соответствовали требованиям.

Сокращение срока службы сертификатов уже несколько месяцев обсуждается Apple, Google и другими участниками CA/Browser. Эта политика имеет свои преимущества и недостатки.

Цель этого шага — повысить безопасность веб-сайта, убедившись, что разработчики используют сертификаты с новейшими криптографическими стандартами, и уменьшить количество старых, забытых сертификатов, которые потенциально могут быть украдены и повторно использованы для фишинга и вредоносных атак drive-by. Если злоумышленники смогут взломать криптографию в стандарте SSL/TLS, недолговечные сертификаты обеспечат людям переход на более безопасные сертификаты примерно через год.

Сокращение срока действия сертификатов имеет некоторые недостатки. Было отмечено, что, увеличивая частоту замены сертификатов, Apple и другие компании также немного усложняют жизнь владельцам сайтов и компаниям, которые должны управлять сертификатами и соответствием требованиям.

С другой стороны, Let’s Encrypt и другие центры сертификацию стимулируют веб-мастеров внедрять автоматизированные процедуры для обновления сертификатов. Это уменьшает человеческие накладные расходы и риск ошибок по мере увеличения частоты замены сертификатов.

Как известно, Let’s Encrypt выдаёт бесплатные HTTPS-сертификаты, срок действия которых истекает через 90 дней, и предоставляет инструменты для автоматизации продления. Так что теперь эти сертификаты ещё лучше вписываются в общую инфраструктуру — по мере того, как браузеры устанавливают ограничение на максимальный срок действия.

Данное изменение было выставлено на голосование участниками ассоциации CA/Browser Forum, но решение не было утверждено из-за несогласия удостоверяющих центров.

Результаты

Голосование издателей сертификатов

За (11 голосов): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (бывший Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Против (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (бывшая Trustwave)

Воздержались (2): HARICA, TurkTrust

Голосование потребителей сертификатов

За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Против: 0

Воздержалось: 0

Теперь браузеры принудительно вводят эту политику без согласия удостоверяющих центров.

Источник: habr.com