Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней

Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение. Помимо времени действия сертификатов решено заметно сократить и сроки повторного использования данных валидации объектов: для SAN (Subject Alternative Name, когда один сертификат охватывает несколько ресурсов, например, действует сразу для нескольких доменов) срок будет сокращен с 398 до 10 дней, а для не-SAN — с 825 до 398 дней.

Изменение намерены продвигать постепенно: начиная с 15 марта 2026 года максимальный срок действия TLS-сертификатов будет уменьшен до 250 дней, с 15 марта 2027 года — до 100 дней, а с марта 2029 года — до 47 дней. После наступления каждого этапа обработка новых сертификатов, не соответствующим упомянутым критериям, будет приводить к выводу в браузерах ошибки «ERR_CERT_VALIDITY_TOO_LONG». Ранее производителям браузеров удалось отстоять постепенное сокращение времени жизни сертификатов с 8 лет до 398 дней (13 месяцев).

За новое сокращение времени жизни TLS-сертификатов проголосовали 29 участников, 6 воздержались и никто не отдал голос против. Участники, проголосовавшие «за»: Apple, Google, Microsoft, Mozilla, Amazon, Asseco Data Systems SA (Certum), Buypass AS, Certigna (DHIMYOTIS), Certinomis, DigiCert, Disig, D-TRUST, eMudhra, Fastly, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, NAVER Cloud Trust Services, OISTE Foundation, Sectigo, SHECA, SSL.com, SwissSign, Telia Company, TrustAsia, VikingCloud, Visa. Участники, которые воздержались: Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems, TWCA.

Предполагается, что генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности. Например, в случае незаметной утечки сертификата в результате взлома короткоживущие сертификаты помешают злоумышленникам длительное время контролировать трафик жертвы или использовать сертификаты для фишинга. Более частая валидация и сокращение сроков действия сертификатов также уменьшат вероятность того, что сертификат продолжит действовать после потери актуальности содержащейся в нем информации и снизят риск распространения неправильно выпущенных сертификатов.

Кроме того, короткодействующие сертификаты станут стимулом для внедрения автоматических систем управления сертификатами, избавленными от человеческого фактора. При этом, изжитие практики ручного обновления сертификатов может привести и к негативным последствиям. Отмечается, что некоторые устройства, допускающие загрузку сертификатов только в ручном режиме, могут остаться с недействительными сертификатами из-за сложности организации ручного обновления каждые полтора месяца. Изменение также может негативно повлиять на бизнес удостоверяющих центров, не предоставляющих API для автоматического получения сертификатов.

Источник: opennet.ru