Προγραμματιστές του έργου Chromium , το οποίο ορίζει τη μέγιστη διάρκεια ζωής των πιστοποιητικών TLS σε 398 ημέρες (13 μήνες).
Η προϋπόθεση ισχύει για όλα τα δημόσια πιστοποιητικά διακομιστή που εκδόθηκαν μετά την 1η Σεπτεμβρίου 2020. Εάν το πιστοποιητικό δεν ταιριάζει με αυτόν τον κανόνα, το πρόγραμμα περιήγησης θα το απορρίψει ως μη έγκυρο και θα απαντήσει συγκεκριμένα με ένα σφάλμα ERR_CERT_VALIDITY_TOO_LONG.
Για πιστοποιητικά που λαμβάνονται πριν από την 1η Σεπτεμβρίου 2020, η εμπιστοσύνη θα διατηρηθεί και (2,2 χρόνια), σαν σήμερα.
Προηγουμένως, οι προγραμματιστές των προγραμμάτων περιήγησης Firefox και Safari εισήγαγαν περιορισμούς στη μέγιστη διάρκεια ζωής των πιστοποιητικών. Αλλάξτε επίσης .
Αυτό σημαίνει ότι οι ιστότοποι που χρησιμοποιούν πιστοποιητικά SSL/TLS μακράς διάρκειας που εκδίδονται μετά το σημείο αποκοπής θα δημιουργήσουν σφάλματα απορρήτου στα προγράμματα περιήγησης.
Η Apple ήταν η πρώτη που ανακοίνωσε τη νέα πολιτική σε μια συνάντηση του φόρουμ CA/Browser . Κατά την εισαγωγή του νέου κανόνα, η Apple υποσχέθηκε να τον εφαρμόσει σε όλες τις συσκευές iOS και macOS. Αυτό θα ασκήσει πίεση στους διαχειριστές και τους προγραμματιστές ιστότοπων για να διασφαλίσουν ότι οι πιστοποιήσεις τους είναι συμβατές.
Η συντόμευση της διάρκειας ζωής των πιστοποιητικών συζητείται εδώ και μήνες από την Apple, την Google και άλλα μέλη CA/Browser. Αυτή η πολιτική έχει τα πλεονεκτήματα και τα μειονεκτήματά της.
Ο στόχος αυτής της κίνησης είναι να βελτιωθεί η ασφάλεια του ιστότοπου διασφαλίζοντας ότι οι προγραμματιστές χρησιμοποιούν πιστοποιητικά με τα πιο πρόσφατα κρυπτογραφικά πρότυπα και να μειώσουν τον αριθμό των παλαιών, ξεχασμένων πιστοποιητικών που θα μπορούσαν ενδεχομένως να κλαπούν και να επαναχρησιμοποιηθούν σε ηλεκτρονικό ψάρεμα και κακόβουλες επιθέσεις Drive-by. Εάν οι εισβολείς μπορούν να σπάσουν την κρυπτογραφία στο πρότυπο SSL/TLS, τα βραχύβια πιστοποιητικά θα διασφαλίσουν ότι οι άνθρωποι θα μεταβούν σε πιο ασφαλή πιστοποιητικά σε περίπου ένα χρόνο.
Η συντόμευση της περιόδου ισχύος των πιστοποιητικών έχει ορισμένα μειονεκτήματα. Έχει σημειωθεί ότι αυξάνοντας τη συχνότητα αντικατάστασης πιστοποιητικών, η Apple και άλλες εταιρείες κάνουν επίσης λίγο πιο δύσκολη τη ζωή για τους ιδιοκτήτες τοποθεσιών και τις εταιρείες που πρέπει να διαχειρίζονται τα πιστοποιητικά και τη συμμόρφωση.
Από την άλλη πλευρά, το Let's Encrypt και άλλες αρχές έκδοσης πιστοποιητικών ενθαρρύνουν τους webmasters να εφαρμόζουν αυτοματοποιημένες διαδικασίες για την ενημέρωση των πιστοποιητικών. Αυτό μειώνει τα ανθρώπινα έξοδα και τον κίνδυνο σφαλμάτων καθώς αυξάνεται η συχνότητα αντικατάστασης του πιστοποιητικού.
Όπως γνωρίζετε, το Let's Encrypt εκδίδει δωρεάν πιστοποιητικά HTTPS που λήγουν μετά από 90 ημέρες και παρέχει εργαλεία για την αυτοματοποίηση της ανανέωσης. Τώρα λοιπόν αυτά τα πιστοποιητικά ταιριάζουν ακόμα καλύτερα στη συνολική υποδομή, καθώς τα προγράμματα περιήγησης θέτουν μέγιστα όρια εγκυρότητας.
Αυτή η αλλαγή τέθηκε σε ψηφοφορία από μέλη του φόρουμ CA/Browser, αλλά η απόφαση .
Ευρήματα
Ψηφοφορία εκδότη πιστοποιητικού
Υπέρ (11 ψήφοι): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (πρώην Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Κατά (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCATrust, Secure Trustwave)
Αποχή (2): HARICA, TurkTrust
Ψηφοφορία καταναλωτών πιστοποιητικών
Για (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Κατά: 0
Απείχε: 0
Τα προγράμματα περιήγησης επιβάλλουν τώρα αυτήν την πολιτική χωρίς τη συγκατάθεση των αρχών έκδοσης πιστοποιητικών.
Πηγή: www.habr.com