Chromium-projektin kehittäjät
Ehto koskee kaikkia julkisen palvelimen varmenteita, jotka on myönnetty 1 jälkeen. Jos varmenne ei vastaa tätä sääntöä, selain hylkää sen virheellisenä ja vastaa nimenomaan virheellä ERR_CERT_VALIDITY_TOO_LONG
.
Ennen 1 vastaanotettujen varmenteiden osalta luottamus säilyy ja
Aiemmin Firefox- ja Safari-selaimien kehittäjät asettivat rajoituksia varmenteiden enimmäiskäyttöikään. Muuta myös
Tämä tarkoittaa, että katkaisupisteen jälkeen myönnettyjä pitkäikäisiä SSL/TLS-varmenteita käyttävät verkkosivustot aiheuttavat tietosuojavirheitä selaimissa.
Apple ilmoitti ensimmäisenä uudesta käytännöstä CA/Browser-foorumin kokouksessa
Apple, Google ja muut CA/Browser-jäsenet ovat keskustelleet sertifikaattien käyttöiän lyhentämisestä kuukausien ajan. Tällä politiikalla on hyvät ja huonot puolensa.
Tämän muutoksen tavoitteena on parantaa verkkosivustojen turvallisuutta varmistamalla, että kehittäjät käyttävät uusimpien salausstandardien mukaisia varmenteita, ja vähentää vanhojen, unohdettujen varmenteiden määrää, jotka voidaan mahdollisesti varastaa ja käyttää uudelleen tietojenkalastelussa ja haitallisissa drive-by-hyökkäyksissä. Jos hyökkääjät voivat rikkoa SSL/TLS-standardin salauksen, lyhytikäiset varmenteet varmistavat, että ihmiset siirtyvät turvallisempiin varmenteisiin noin vuoden kuluttua.
Varmenteiden voimassaoloajan lyhentämisessä on joitain haittoja. On havaittu, että lisäämällä varmenteiden vaihtotiheyttä Apple ja muut yritykset vaikeuttavat myös sivustojen omistajien ja yritysten elämää, joiden on hallittava varmenteita ja vaatimustenmukaisuutta.
Toisaalta Let's Encrypt ja muut varmenneviranomaiset kannustavat verkkovastaavia ottamaan käyttöön automaattisia menettelyjä varmenteiden päivittämiseksi. Tämä vähentää inhimillisiä lisäkustannuksia ja virheriskiä varmenteiden vaihtotiheyden kasvaessa.
Kuten tiedät, Let's Encrypt myöntää ilmaisia HTTPS-varmenteita, jotka vanhenevat 90 päivän kuluttua ja tarjoaa työkaluja uusimisen automatisointiin. Joten nyt nämä varmenteet sopivat entistä paremmin yleiseen infrastruktuuriin, koska selaimet asettavat enimmäiskelpoisuusrajat.
CA/Browser Forumin jäsenet äänestivät tästä muutoksesta, mutta päätös
Tulokset
Sertifikaatin myöntäjän äänestys
puolesta (11 ääntä): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (entinen Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
vastaan (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Verkkoratkaisut, OATI, SECOM, SwissSign, TWCA, TrustTrustCor (Securee) Trustwave)
Pidättyi äänestämästä (2): HARICA, TurkTrust
Todistus kuluttajat äänestävät
(7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Vastaan: 0
Pidättäytyi äänestämästä: 0
Selaimet käyttävät nyt tätä käytäntöä ilman varmenneviranomaisten suostumusta.
Lähde: will.com