توسعه دهندگان پروژه Chromium
این شرط برای همه گواهیهای سرور عمومی صادر شده پس از 1 سپتامبر 2020 اعمال میشود. اگر گواهی با این قانون مطابقت نداشته باشد، مرورگر آن را به عنوان نامعتبر رد می کند و به طور خاص با یک خطا پاسخ می دهد ERR_CERT_VALIDITY_TOO_LONG
.
برای گواهیهای دریافتشده قبل از ۱ سپتامبر ۲۰۲۰، اعتماد حفظ خواهد شد و
پیش از این، توسعه دهندگان مرورگرهای فایرفاکس و سافاری محدودیت هایی را برای حداکثر طول عمر گواهی ها معرفی کرده بودند. تغییر هم بده
این بدان معناست که وبسایتهایی که از گواهیهای SSL/TLS با عمر طولانی استفاده میکنند که پس از نقطه قطع صادر شدهاند، خطاهای حفظ حریم خصوصی را در مرورگرها ایجاد میکنند.
اپل اولین کسی بود که سیاست جدید را در جلسه انجمن CA/Browser اعلام کرد
کوتاه کردن طول عمر گواهی ها برای ماه ها توسط اپل، گوگل و سایر اعضای CA/Browser مورد بحث قرار گرفته است. این سیاست مزایا و معایب خود را دارد.
هدف از این حرکت بهبود امنیت وب سایت با حصول اطمینان از استفاده توسعه دهندگان از گواهینامه ها با آخرین استانداردهای رمزنگاری و کاهش تعداد گواهی های قدیمی و فراموش شده است که به طور بالقوه می توانند به سرقت رفته و در حملات فیشینگ و مخرب درایو بای مورد استفاده قرار گیرند. اگر مهاجمان بتوانند رمزنگاری استاندارد SSL/TLS را بشکنند، گواهیهای کوتاه مدت تضمین میکنند که افراد در عرض یک سال به گواهیهای ایمنتر روی میآورند.
کوتاه شدن مدت اعتبار گواهینامه ها دارای معایبی است. اشاره شده است که با افزایش دفعات تعویض گواهی، اپل و سایر شرکتها نیز زندگی را برای صاحبان سایت و شرکتهایی که باید گواهیها و انطباق را مدیریت کنند، کمی سختتر میکنند.
از سوی دیگر، Let's Encrypt و دیگر مقامات گواهی، مدیران وبسایتها را تشویق میکنند تا رویههای خودکار را برای بهروزرسانی گواهیها اجرا کنند. این امر سربار انسان و خطر خطا را با افزایش دفعات تعویض گواهی کاهش می دهد.
همانطور که میدانید، Let's Encrypt گواهیهای HTTPS رایگان صادر میکند که پس از ۹۰ روز منقضی میشوند و ابزارهایی برای تمدید خودکار ارائه میدهند. بنابراین اکنون این گواهی ها حتی بهتر در زیرساخت کلی جا می گیرند زیرا مرورگرها حداکثر محدودیت های اعتبار را تعیین می کنند.
این تغییر توسط اعضای انجمن CA/Browser به رای گذاشته شد، اما تصمیم گرفت
یافته ها
رای صادرکننده گواهی
برای (11 رای): Amazon، Buypass، Certigna (DHIMYOTIS)، certSIGN، Sectigo (سابق Comodo CA)، eMudhra، Kamu SM، Let's Encrypt، Logius، PKIoverheid، SHECA، SSL.com
در مقابل (20): Camerfirma، Certum (Asseco)، CFCA، Chunghwa Telecom، Comsign، D-TRUST، DarkMatter، Entrust Datacard، Firmaprofesional، GDCA، GlobalSign، GoDaddy، Izenpe، Network Solutions، OATI، SECOM، SwissSign، TWCATrustforme، Trustwave)
ممتنع (2): HARICA، TurkTrust
گواهی رای مصرف کنندگان
برای (7): اپل، سیسکو، گوگل، مایکروسافت، موزیلا، اپرا، 360
علیه: 0
ممتنع: 0
اکنون مرورگرها این خط مشی را بدون رضایت مقامات گواهی اجرا می کنند.
منبع: www.habr.com