Desarrolladores del proyecto Chromium , que establece la vida útil máxima de los certificados TLS en 398 días (13 meses).
La condición se aplica a todos los certificados de servidor público emitidos después del 1 de septiembre de 2020. Si el certificado no coincide con esta regla, el navegador lo rechazará como no válido y responderá específicamente con un error. ERR_CERT_VALIDITY_TOO_LONG.
Para los certificados recibidos antes del 1 de septiembre de 2020, se mantendrá la confianza y (2,2 años), como hoy.
Anteriormente, los desarrolladores de los navegadores Firefox y Safari introdujeron restricciones en la vida útil máxima de los certificados. Cambia también .
Esto significa que los sitios web que utilizan certificados SSL/TLS de larga duración emitidos después del punto de corte generarán errores de privacidad en los navegadores.
Apple fue la primera en anunciar la nueva política en una reunión del foro CA/Browser . Al presentar la nueva regla, Apple prometió aplicarla a todos los dispositivos iOS y macOS. Esto ejercerá presión sobre los administradores y desarrolladores de sitios web para garantizar que sus certificaciones cumplan.
Apple, Google y otros miembros de CA/Browser han debatido durante meses acortar la vida útil de los certificados. Esta política tiene sus ventajas y desventajas.
El objetivo de esta medida es mejorar la seguridad del sitio web garantizando que los desarrolladores utilicen certificados con los últimos estándares criptográficos y reducir la cantidad de certificados antiguos y olvidados que podrían ser robados y reutilizados en phishing y ataques no autorizados maliciosos. Si los atacantes pueden romper la criptografía en el estándar SSL/TLS, los certificados de corta duración garantizarán que las personas cambien a certificados más seguros en aproximadamente un año.
Acortar el período de validez de los certificados tiene algunas desventajas. Se ha observado que al aumentar la frecuencia de los reemplazos de certificados, Apple y otras empresas también están haciendo la vida un poco más difícil a los propietarios de sitios y a las empresas que deben gestionar los certificados y el cumplimiento.
Por otro lado, Let's Encrypt y otras autoridades certificadoras alientan a los webmasters a implementar procedimientos automatizados para actualizar los certificados. Esto reduce la sobrecarga humana y el riesgo de errores a medida que aumenta la frecuencia de reemplazo de certificados.
Como sabe, Let's Encrypt emite certificados HTTPS gratuitos que caducan después de 90 días y proporciona herramientas para automatizar la renovación. Ahora estos certificados encajan aún mejor en la infraestructura general, ya que los navegadores establecen límites máximos de validez.
Este cambio fue sometido a votación por los miembros del CA/Browser Forum, pero la decisión .
resultados
Votación del emisor del certificado
A favor (11 votos): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
En contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (antes) onda de confianza)
Abstención (2): HARICA, TurkTrust
Consumidores de certificados votando
Para (7): Apple, Cisco, Google, Microsoft, Mozilla, Ópera, 360
Contra: 0
Abstención: 0
Los navegadores ahora aplican esta política sin el consentimiento de las autoridades certificadoras.
Fuente: habr.com