Programeri Chromium projekta
Uvjet se odnosi na sve certifikate javnog servera izdate nakon 1. septembra 2020. Ako se certifikat ne podudara sa ovim pravilom, pretraživač će ga odbiti kao nevažeći i konkretno odgovoriti s greškom ERR_CERT_VALIDITY_TOO_LONG
.
Za certifikate primljene prije 1. septembra 2020. godine povjerenje će se održati i
Ranije su programeri pretraživača Firefox i Safari uveli ograničenja na maksimalni vijek trajanja certifikata. Promijenite također
To znači da će web-stranice koje koriste dugotrajne SSL/TLS certifikate izdane nakon granične točke izbaciti greške u privatnosti u pretraživačima.
Apple je prvi objavio novu politiku na sastanku CA/Browser foruma
Apple, Google i drugi članovi CA/Browser-a već mjesecima raspravljaju o skraćivanju životnog vijeka certifikata. Ova politika ima svoje prednosti i nedostatke.
Cilj ovog poteza je poboljšati sigurnost web stranice osiguravajući da programeri koriste certifikate s najnovijim kriptografskim standardima, te smanjiti broj starih, zaboravljenih certifikata koji bi potencijalno mogli biti ukradeni i ponovno korišteni u phishing i zlonamjernim napadima. Ako napadači mogu razbiti kriptografiju u SSL/TLS standardu, kratkotrajni certifikati će osigurati da ljudi pređu na sigurnije certifikate za otprilike godinu dana.
Skraćivanje roka važenja sertifikata ima neke nedostatke. Primijećeno je da povećanjem učestalosti zamjene certifikata, Apple i druge kompanije također malo otežavaju život vlasnicima web lokacija i kompanijama koje moraju upravljati certifikatima i usklađenošću.
S druge strane, Let's Encrypt i drugi autoriteti certifikata ohrabruju webmastere da implementiraju automatizirane procedure za ažuriranje certifikata. Ovo smanjuje ljudske troškove i rizik od grešaka kako se učestalost zamjene certifikata povećava.
Kao što znate, Let's Encrypt izdaje besplatne HTTPS certifikate koji ističu nakon 90 dana i pruža alate za automatizaciju obnove. Dakle, sada se ovi certifikati još bolje uklapaju u cjelokupnu infrastrukturu jer pretraživači postavljaju maksimalna ograničenja valjanosti.
Ova izmjena je stavljena na glasanje od strane članova CA/Browser Foruma, ali odluka
Rezulʹtaty
Glasanje izdavaoca certifikata
Za (11 glasova): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (bivši Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Protiv (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust ( Trustwave)
Uzdržani (2): HARICA, TurkTrust
Glasanje potrošača certifikata
za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Protiv: 0
Uzdržan: 0
Preglednici sada provode ovu politiku bez pristanka organa za izdavanje certifikata.
izvor: www.habr.com