Programeri Chromium projekta , koji postavlja maksimalni vijek trajanja TLS certifikata na 398 dana (13 mjeseci).
Uvjet se odnosi na sve certifikate javnog servera izdate nakon 1. septembra 2020. Ako se certifikat ne podudara sa ovim pravilom, pretraživač će ga odbiti kao nevažeći i konkretno odgovoriti s greškom ERR_CERT_VALIDITY_TOO_LONG.
Za certifikate primljene prije 1. septembra 2020. godine povjerenje će se održati i (2,2 godine), kao danas.
Ranije su programeri pretraživača Firefox i Safari uveli ograničenja na maksimalni vijek trajanja certifikata. Promijenite također .
To znači da će web-stranice koje koriste dugotrajne SSL/TLS certifikate izdane nakon granične točke izbaciti greške u privatnosti u pretraživačima.
Apple je prvi objavio novu politiku na sastanku CA/Browser foruma . Prilikom predstavljanja novog pravila, Apple je obećao da će ga primijeniti na sve iOS i macOS uređaje. Ovo će izvršiti pritisak na administratore web stranica i programere da osiguraju da su njihovi certifikati usklađeni.
Apple, Google i drugi članovi CA/Browser-a već mjesecima raspravljaju o skraćivanju životnog vijeka certifikata. Ova politika ima svoje prednosti i nedostatke.
Cilj ovog poteza je poboljšati sigurnost web stranice osiguravajući da programeri koriste certifikate s najnovijim kriptografskim standardima, te smanjiti broj starih, zaboravljenih certifikata koji bi potencijalno mogli biti ukradeni i ponovno korišteni u phishing i zlonamjernim napadima. Ako napadači mogu razbiti kriptografiju u SSL/TLS standardu, kratkotrajni certifikati će osigurati da ljudi pređu na sigurnije certifikate za otprilike godinu dana.
Skraćivanje roka važenja sertifikata ima neke nedostatke. Primijećeno je da povećanjem učestalosti zamjene certifikata, Apple i druge kompanije također malo otežavaju život vlasnicima web lokacija i kompanijama koje moraju upravljati certifikatima i usklađenošću.
S druge strane, Let's Encrypt i drugi autoriteti certifikata ohrabruju webmastere da implementiraju automatizirane procedure za ažuriranje certifikata. Ovo smanjuje ljudske troškove i rizik od grešaka kako se učestalost zamjene certifikata povećava.
Kao što znate, Let's Encrypt izdaje besplatne HTTPS certifikate koji ističu nakon 90 dana i pruža alate za automatizaciju obnove. Dakle, sada se ovi certifikati još bolje uklapaju u cjelokupnu infrastrukturu jer pretraživači postavljaju maksimalna ograničenja valjanosti.
Ova izmjena je stavljena na glasanje od strane članova CA/Browser Foruma, ali odluka .
Rezulʹtaty
Glasanje izdavaoca certifikata
Za (11 glasova): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (bivši Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Protiv (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust ( Trustwave)
Uzdržani (2): HARICA, TurkTrust
Glasanje potrošača certifikata
za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Protiv: 0
Uzdržan: 0
Preglednici sada provode ovu politiku bez pristanka organa za izdavanje certifikata.
izvor: www.habr.com