Programistoj de la projekto Chromium , kiu fiksas la maksimuman vivdaŭron de TLS-atestiloj al 398 tagoj (13 monatoj).
La kondiĉo validas por ĉiuj publikaj servilaj atestiloj eldonitaj post la 1-a de septembro 2020. Se la atestilo ne kongruas kun ĉi tiu regulo, la retumilo malakceptos ĝin kiel nevalida kaj specife respondos per eraro ERR_CERT_VALIDITY_TOO_LONG.
Por atestiloj ricevitaj antaŭ la 1-a de septembro 2020, fido estos konservita kaj (2,2 jaroj), kiel hodiaŭ.
Antaŭe, la programistoj de la retumiloj Fajrovulpo kaj Safari enkondukis limigojn pri la maksimuma vivodaŭro de atestiloj. Ŝanĝu ankaŭ .
Ĉi tio signifas, ke retejoj uzantaj longdaŭrajn SSL/TLS-atestilojn eldonitajn post la detranĉa punkto ĵetos privatecajn erarojn en retumiloj.
Apple estis la unua kiu anoncis la novan politikon ĉe kunveno de la forumo CA/Browser . Enkondukante la novan regulon, Apple promesis apliki ĝin al ĉiuj iOS kaj macOS-aparatoj. Ĉi tio premos administrantojn kaj programistojn de retejoj por certigi, ke iliaj atestiloj estas konformaj.
Mallongigi la vivdaŭron de atestiloj estas diskutita dum monatoj fare de Apple, Google, kaj aliaj CA/Retumilo-membroj. Ĉi tiu politiko havas siajn avantaĝojn kaj malavantaĝojn.
La celo de ĉi tiu movo estas plibonigi retejan sekurecon certigante, ke programistoj uzu atestojn kun la plej novaj kriptaj normoj, kaj redukti la nombron da malnovaj, forgesitaj atestiloj, kiuj eble povus esti ŝtelitaj kaj reuzitaj en phishing kaj malicaj preterveturaj atakoj. Se atakantoj povas rompi la kriptografion en la normo SSL/TLS, mallongdaŭraj atestiloj certigos, ke homoj ŝanĝu al pli sekuraj atestiloj en proksimume jaro.
Mallongigi la validecperiodon de atestiloj havas kelkajn malavantaĝojn. Oni rimarkis, ke pliigante la oftecon de atestiloj, Apple kaj aliaj kompanioj ankaŭ malfaciligas la vivon al posedantoj de retejoj kaj kompanioj, kiuj devas administri atestojn kaj plenumadon.
Aliflanke, Let's Encrypt kaj aliaj atestaj aŭtoritatoj instigas retejestrojn efektivigi aŭtomatajn procedurojn por ĝisdatigi atestojn. Ĉi tio reduktas homan superkoston kaj la riskon de eraroj kiam la ofteco de atestila anstataŭigo pliiĝas.
Kiel vi scias, Let's Encrypt emisias senpagajn HTTPS-atestilojn, kiuj eksvalidiĝas post 90 tagoj kaj provizas ilojn por aŭtomatigi renovigon. Do nun ĉi tiuj atestiloj konvenas eĉ pli bone en la ĝeneralan infrastrukturon, ĉar retumiloj fiksas maksimumajn validecajn limojn.
Ĉi tiu ŝanĝo estis voĉdonita de membroj de la CA/Retumila Forumo, sed la decido .
Результаты
Voĉdonado de Atestilo
Por (11 voĉoj): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (antaŭe Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Kontraŭ (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (iama) Trustwave)
Sindetenis (2): HARICA, TurkTrust
Atestilo konsumantoj voĉdonante
Por (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Kontraŭ: 0
Sindetenis: 0
Retumiloj nun plenumas ĉi tiun politikon sen la konsento de atestaj aŭtoritatoj.
fonto: www.habr.com