Entwickler des Chromium-Projekts , wodurch die maximale Lebensdauer von TLS-Zertifikaten auf 398 Tage (13 Monate) festgelegt wird.
Die Bedingung gilt für alle öffentlichen Serverzertifikate, die nach dem 1. September 2020 ausgestellt wurden. Wenn das Zertifikat dieser Regel nicht entspricht, weist der Browser es als ungültig zurück und antwortet ausdrücklich mit einem Fehler ERR_CERT_VALIDITY_TOO_LONG.
Für Zertifikate, die vor dem 1. September 2020 eingehen, bleibt das Vertrauen erhalten (2,2 Jahre), wie heute.
Zuvor hatten die Entwickler der Browser Firefox und Safari Einschränkungen hinsichtlich der maximalen Lebensdauer von Zertifikaten eingeführt. Auch ändern .
Dies bedeutet, dass Websites, die langlebige SSL/TLS-Zertifikate verwenden, die nach dem Cutoff-Punkt ausgestellt wurden, Datenschutzfehler in Browsern auslösen.
Apple war der erste, der die neue Richtlinie auf einem Treffen des CA/Browser-Forums bekannt gab . Bei der Einführung der neuen Regel versprach Apple, sie auf alle iOS- und macOS-Geräte anzuwenden. Dadurch wird der Druck auf Website-Administratoren und Entwickler erhöht, sicherzustellen, dass ihre Zertifizierungen konform sind.
Die Verkürzung der Lebensdauer von Zertifikaten wird seit Monaten von Apple, Google und anderen CA/Browser-Mitgliedern diskutiert. Diese Politik hat ihre Vor- und Nachteile.
Ziel dieses Schritts ist es, die Website-Sicherheit zu verbessern, indem sichergestellt wird, dass Entwickler Zertifikate mit den neuesten kryptografischen Standards verwenden, und die Anzahl alter, vergessener Zertifikate zu reduzieren, die möglicherweise gestohlen und bei Phishing- und böswilligen Drive-by-Angriffen wiederverwendet werden könnten. Wenn Angreifer die Kryptografie im SSL/TLS-Standard knacken können, sorgen kurzlebige Zertifikate dafür, dass Menschen in etwa einem Jahr auf sicherere Zertifikate umsteigen.
Die Verkürzung der Gültigkeitsdauer von Zertifikaten hat einige Nachteile. Es wurde festgestellt, dass Apple und andere Unternehmen durch die Erhöhung der Häufigkeit des Zertifikataustauschs auch Websitebesitzern und Unternehmen, die Zertifikate und Compliance verwalten müssen, das Leben etwas schwieriger machen.
Andererseits ermutigen Let's Encrypt und andere Zertifizierungsstellen Webmaster, automatisierte Verfahren zur Aktualisierung von Zertifikaten zu implementieren. Dies reduziert den menschlichen Aufwand und das Fehlerrisiko, da die Häufigkeit des Zertifikataustauschs zunimmt.
Wie Sie wissen, stellt Let's Encrypt kostenlose HTTPS-Zertifikate aus, die nach 90 Tagen ablaufen, und stellt Tools zur Automatisierung der Erneuerung bereit. Diese Zertifikate fügen sich nun noch besser in die Gesamtinfrastruktur ein, da Browser maximale Gültigkeitsgrenzen festlegen.
Diese Änderung wurde von Mitgliedern des CA/Browser-Forums zur Abstimmung gestellt, aber die Entscheidung .
Ergebnisse
Abstimmung des Zertifikatsausstellers
Dafür (11 Stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ehemals Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Gegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ehemals Trustwave)
Enthalten (2): HARICA, TurkTrust
Zertifikatsverbraucher stimmen ab
Für (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Gegen: 0
Enthaltung: 0
Browser erzwingen diese Richtlinie jetzt ohne die Zustimmung der Zertifizierungsstellen.
Source: habr.com