Vývojáři projektu Chromium
Podmínka platí pro všechny certifikáty veřejného serveru vydané po 1. září 2020. Pokud certifikát tomuto pravidlu nevyhovuje, prohlížeč jej odmítne jako neplatný a konkrétně odpoví chybou ERR_CERT_VALIDITY_TOO_LONG
.
U certifikátů obdržených před 1. zářím 2020 bude zachována důvěra a
Již dříve vývojáři prohlížečů Firefox a Safari zavedli omezení maximální životnosti certifikátů. Změňte se také
To znamená, že webové stránky používající certifikáty SSL/TLS s dlouhou životností vydané po hraničním bodě způsobí v prohlížečích chyby ochrany osobních údajů.
Apple jako první oznámil novou politiku na setkání fóra CA/Browser
Apple, Google a další členové CA/Browser diskutovali o zkrácení životnosti certifikátů měsíce. Tato politika má své výhody i nevýhody.
Cílem tohoto kroku je zlepšit zabezpečení webových stránek zajištěním toho, aby vývojáři používali certifikáty s nejnovějšími kryptografickými standardy, a snížit počet starých, zapomenutých certifikátů, které by mohly být potenciálně odcizeny a znovu použity při phishingu a škodlivých útocích typu drive-by. Pokud se útočníkům podaří prolomit kryptografii ve standardu SSL/TLS, krátkodobé certifikáty zajistí, že lidé zhruba za rok přejdou na bezpečnější certifikáty.
Zkrácení doby platnosti certifikátů má některé nevýhody. Bylo poznamenáno, že zvýšením frekvence výměn certifikátů Apple a další společnosti také trochu ztěžují život majitelům stránek a společnostem, které musí spravovat certifikáty a shodu.
Na druhou stranu, Let's Encrypt a další certifikační autority nabádají webmastery k implementaci automatizovaných postupů pro aktualizaci certifikátů. To snižuje lidskou režii a riziko chyb, protože frekvence výměny certifikátů se zvyšuje.
Jak víte, Let's Encrypt vydává bezplatné certifikáty HTTPS, jejichž platnost vyprší po 90 dnech, a poskytuje nástroje pro automatizaci obnovy. Nyní tedy tyto certifikáty ještě lépe zapadají do celkové infrastruktury, protože prohlížeče nastavují maximální limity platnosti.
Tato změna byla předložena k hlasování členů CA/Browser Forum, ale rozhodnutí
výsledky
Hlasování vydavatele certifikátu
Pro (11 hlasů): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dříve Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dříve Trustwave)
Zdržel se hlasování (2): HARICA, TurkTrust
Hlasování spotřebitelů certifikátů
Pro (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Proti: 0
Zdržel se hlasování: 0
Prohlížeče nyní vynucují tuto zásadu bez souhlasu certifikačních autorit.
Zdroj: www.habr.com