Udviklere af Chromium-projektet , som indstiller den maksimale levetid for TLS-certifikater til 398 dage (13 måneder).
Betingelsen gælder for alle offentlige servercertifikater udstedt efter 1. september 2020. Hvis certifikatet ikke matcher denne regel, vil browseren afvise det som ugyldigt og specifikt svare med en fejl ERR_CERT_VALIDITY_TOO_LONG.
For certifikater modtaget før 1. september 2020 vil tilliden blive opretholdt og (2,2 år), ligesom i dag.
Tidligere har udviklerne af Firefox- og Safari-browserne indført begrænsninger på den maksimale levetid for certifikater. Skift også .
Dette betyder, at websteder, der bruger langtidsholdbare SSL/TLS-certifikater, der er udstedt efter afskæringspunktet, vil kaste privatlivsfejl i browsere.
Apple var den første til at annoncere den nye politik på et møde i CA/Browser-forummet . Da Apple introducerede den nye regel, lovede den at anvende den på alle iOS- og macOS-enheder. Dette vil lægge pres på webstedsadministratorer og -udviklere for at sikre, at deres certificeringer er kompatible.
Forkortelse af certifikaters levetid er blevet diskuteret i månedsvis af Apple, Google og andre CA/Browser-medlemmer. Denne politik har sine fordele og ulemper.
Målet med dette træk er at forbedre webstedssikkerheden ved at sikre, at udviklere bruger certifikater med de nyeste kryptografiske standarder, og at reducere antallet af gamle, glemte certifikater, der potentielt kan blive stjålet og genbrugt i phishing og ondsindede drive-by-angreb. Hvis angribere kan bryde kryptografien i SSL/TLS-standarden, vil kortlivede certifikater sikre, at folk skifter til mere sikre certifikater om cirka et år.
At afkorte certifikaternes gyldighedsperiode har nogle ulemper. Det er blevet bemærket, at ved at øge hyppigheden af certifikatudskiftninger gør Apple og andre virksomheder også livet lidt sværere for webstedsejere og virksomheder, der skal administrere certifikater og compliance.
På den anden side opfordrer Let's Encrypt og andre certifikatmyndigheder webmastere til at implementere automatiserede procedurer til opdatering af certifikater. Dette reducerer menneskelige omkostninger og risikoen for fejl, efterhånden som hyppigheden af certifikatudskiftning stiger.
Som du ved, udsteder Let's Encrypt gratis HTTPS-certifikater, der udløber efter 90 dage og giver værktøjer til at automatisere fornyelse. Så nu passer disse certifikater endnu bedre ind i den overordnede infrastruktur, da browsere sætter maksimale gyldighedsgrænser.
Denne ændring blev sat til afstemning af medlemmer af CA/Browser Forum, men beslutningen .
Fund
Certifikatudsteder-afstemning
For (11 stemmer): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidligere Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mod (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidligere Trustwave)
Undlod at stemme (2): HARICA, TurkTrust
Bevis forbrugernes stemmeafgivelse
For (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Imod: 0
Undlod at stemme: 0
Browsere håndhæver nu denne politik uden samtykke fra certifikatmyndighederne.
Kilde: www.habr.com