Vývojáři projektu Chromium , která stanovuje maximální životnost TLS certifikátů na 398 dní (13 měsíců).
Podmínka platí pro všechny certifikáty veřejného serveru vydané po 1. září 2020. Pokud certifikát tomuto pravidlu nevyhovuje, prohlížeč jej odmítne jako neplatný a konkrétně odpoví chybou ERR_CERT_VALIDITY_TOO_LONG.
U certifikátů obdržených před 1. zářím 2020 bude zachována důvěra a (2,2 roku), jako dnes.
Již dříve vývojáři prohlížečů Firefox a Safari zavedli omezení maximální životnosti certifikátů. Změňte se také .
To znamená, že webové stránky používající certifikáty SSL/TLS s dlouhou životností vydané po hraničním bodě způsobí v prohlížečích chyby ochrany osobních údajů.
Apple jako první oznámil novou politiku na setkání fóra CA/Browser . Apple při zavádění nového pravidla slíbil, že jej bude aplikovat na všechna iOS a macOS zařízení. To vyvine tlak na správce webových stránek a vývojáře, aby zajistili, že jejich certifikace budou v souladu.
Apple, Google a další členové CA/Browser diskutovali o zkrácení životnosti certifikátů měsíce. Tato politika má své výhody i nevýhody.
Cílem tohoto kroku je zlepšit zabezpečení webových stránek zajištěním toho, aby vývojáři používali certifikáty s nejnovějšími kryptografickými standardy, a snížit počet starých, zapomenutých certifikátů, které by mohly být potenciálně odcizeny a znovu použity při phishingu a škodlivých útocích typu drive-by. Pokud se útočníkům podaří prolomit kryptografii ve standardu SSL/TLS, krátkodobé certifikáty zajistí, že lidé zhruba za rok přejdou na bezpečnější certifikáty.
Zkrácení doby platnosti certifikátů má některé nevýhody. Bylo poznamenáno, že zvýšením frekvence výměn certifikátů Apple a další společnosti také trochu ztěžují život majitelům stránek a společnostem, které musí spravovat certifikáty a shodu.
Na druhou stranu, Let's Encrypt a další certifikační autority nabádají webmastery k implementaci automatizovaných postupů pro aktualizaci certifikátů. To snižuje lidskou režii a riziko chyb, protože frekvence výměny certifikátů se zvyšuje.
Jak víte, Let's Encrypt vydává bezplatné certifikáty HTTPS, jejichž platnost vyprší po 90 dnech, a poskytuje nástroje pro automatizaci obnovy. Nyní tedy tyto certifikáty ještě lépe zapadají do celkové infrastruktury, protože prohlížeče nastavují maximální limity platnosti.
Tato změna byla předložena k hlasování členů CA/Browser Forum, ale rozhodnutí .
výsledky
Hlasování vydavatele certifikátu
Pro (11 hlasů): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dříve Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dříve Trustwave)
Zdržel se hlasování (2): HARICA, TurkTrust
Hlasování spotřebitelů certifikátů
Pro (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Proti: 0
Zdržel se hlasování: 0
Prohlížeče nyní vynucují tuto zásadu bez souhlasu certifikačních autorit.
Zdroj: www.habr.com