Chromium Project Developers έκανε μια αλλαγή, το οποίο ορίζει τη μέγιστη διάρκεια ζωής των πιστοποιητικών TLS σε 398 ημέρες (13 μήνες).

Η συνθήκη ισχύει για όλα τα πιστοποιητικά δημόσιου διακομιστή που εκδίδονται μετά την 1η Σεπτεμβρίου 2020. Εάν το πιστοποιητικό δεν συμμορφώνεται με αυτόν τον κανόνα, το πρόγραμμα περιήγησης θα το απορρίψει ως μη έγκυρο και θα απαντήσει συγκεκριμένα με ένα σφάλμα. ERR_CERT_VALIDITY_TOO_LONG.

Για πιστοποιητικά που έχουν παραληφθεί πριν από την 1η Σεπτεμβρίου 2020, η εμπιστοσύνη θα διατηρηθεί και περιορισμένο σε 825 ημέρες (2,2 χρόνια), όπως σήμερα.

Προηγουμένως, οι προγραμματιστές των προγραμμάτων περιήγησης Firefox και Safari εισήγαγαν ένα όριο στη μέγιστη διάρκεια ζωής των πιστοποιητικών. Η αλλαγή είναι επίσης... τίθεται σε ισχύ την 1η Σεπτεμβρίου.

Αυτό σημαίνει ότι οι ιστότοποι που χρησιμοποιούν πιστοποιητικά SSL/TLS μακράς διαρκείας που εκδίδονται μετά το σημείο αποκοπής θα εμφανίζουν σφάλματα απορρήτου στα προγράμματα περιήγησης.

Η Apple ήταν η πρώτη που ανακοίνωσε τη νέα πολιτική σε μια συνάντηση φόρουμ CA/Browser. το Φεβρουάριο του 2020Κατά την εφαρμογή του νέου κανόνα, η Apple υποσχέθηκε να τον εφαρμόσει σε όλες τις συσκευές iOS και... macOSΑυτό θα ασκήσει πίεση στους διαχειριστές και τους προγραμματιστές ιστότοπων για να διασφαλίσουν ότι τα πιστοποιητικά τους συμμορφώνονται με τις απαιτήσεις.

Η μείωση της διάρκειας ζωής των πιστοποιητικών συζητείται εδώ και μήνες από την Apple, την Google και άλλους συμμετέχοντες σε CA/Browser. Αυτή η πολιτική έχει τα πλεονεκτήματα και τα μειονεκτήματά της.

Στόχος αυτής της κίνησης είναι η βελτίωση της ασφάλειας των ιστότοπων, διασφαλίζοντας ότι οι προγραμματιστές χρησιμοποιούν πιστοποιητικά με τα πιο πρόσφατα κρυπτογραφικά πρότυπα και η μείωση του αριθμού των παλιών, ξεχασμένων πιστοποιητικών που θα μπορούσαν ενδεχομένως να κλαπούν και να επαναχρησιμοποιηθούν για επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing) και "drive-by". Εάν οι εισβολείς καταφέρουν να παραβιάσουν την κρυπτογραφία στο πρότυπο SSL/TLS, τα βραχύβια πιστοποιητικά θα διασφαλίσουν ότι οι χρήστες θα στραφούν σε πιο ασφαλή πιστοποιητικά σε περίπου ένα χρόνο.

Η μείωση της διάρκειας ζωής των πιστοποιητικών έχει ορισμένα μειονεκτήματα. Έχει παρατηρηθεί ότι αυξάνοντας τη συχνότητα αντικατάστασης πιστοποιητικών, η Apple και άλλες εταιρείες κάνουν επίσης τη ζωή λίγο πιο δύσκολη για τους κατόχους ιστότοπων και τις εταιρείες που πρέπει να διαχειρίζονται τα πιστοποιητικά και τη συμμόρφωση.

Από την άλλη πλευρά, το Let's Encrypt και άλλες αρχές έκδοσης πιστοποιητικών ενθαρρύνουν τους διαχειριστές ιστοσελίδων να εφαρμόζουν αυτοματοποιημένες διαδικασίες για την ανανέωση πιστοποιητικών. Αυτό μειώνει την ανθρώπινη επιβάρυνση και τον κίνδυνο σφαλμάτων, καθώς τα πιστοποιητικά αντικαθίστανται συχνότερα.

Όπως γνωρίζετε, το Let's Encrypt εκδίδει δωρεάν πιστοποιητικά HTTPS που λήγουν μετά από 90 ημέρες και παρέχει εργαλεία για την αυτοματοποίηση των ανανεώσεων. Έτσι, τώρα αυτά τα πιστοποιητικά ταιριάζουν ακόμα καλύτερα στη συνολική υποδομή - καθώς τα προγράμματα περιήγησης ορίζουν ένα μέγιστο όριο ισχύος.

Αυτή η αλλαγή τέθηκε σε ψηφοφορία από τα μέλη του Φόρουμ CA/Browser, αλλά η απόφαση δεν εγκρίθηκε λόγω διαφωνίας των αρχών πιστοποίησης.

Ευρήματα

Ψηφοφορία εκδότη πιστοποιητικού

Υπέρ (11 ψήφοι): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (πρώην Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Κατά (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCATrust, Secure Trustwave)
Αποχή (2): HARICA, TurkTrust