Développeurs du projet Chromium , qui fixe la durée de vie maximale des certificats TLS à 398 jours (13 mois).
La condition s'applique à tous les certificats de serveur public émis après le 1er septembre 2020. Si le certificat ne correspond pas à cette règle, le navigateur le rejettera comme invalide et répondra spécifiquement par une erreur. ERR_CERT_VALIDITY_TOO_LONG.
Pour les certificats reçus avant le 1er septembre 2020, la confiance sera maintenue et (2,2 ans), comme aujourd'hui.
Auparavant, les développeurs des navigateurs Firefox et Safari avaient introduit des restrictions sur la durée de vie maximale des certificats. Changer aussi .
Cela signifie que les sites Web utilisant des certificats SSL/TLS de longue durée émis après la date limite généreront des erreurs de confidentialité dans les navigateurs.
Apple a été le premier à annoncer la nouvelle politique lors d'une réunion du forum CA/Browser. . Lors de l'introduction de la nouvelle règle, Apple a promis de l'appliquer à tous les appareils iOS et macOS. Cela mettra la pression sur les administrateurs et les développeurs de sites Web pour garantir la conformité de leurs certifications.
Le raccourcissement de la durée de vie des certificats est un sujet de discussion depuis des mois par Apple, Google et d'autres membres de CA/Browser. Cette politique a ses avantages et ses inconvénients.
L'objectif de cette décision est d'améliorer la sécurité des sites Web en garantissant que les développeurs utilisent des certificats répondant aux dernières normes cryptographiques et de réduire le nombre d'anciens certificats oubliés qui pourraient potentiellement être volés et réutilisés dans le cadre d'attaques de phishing et d'attaques malveillantes au volant. Si les attaquants parviennent à briser la cryptographie de la norme SSL/TLS, les certificats de courte durée garantiront que les utilisateurs passeront à des certificats plus sécurisés dans environ un an.
Raccourcir la durée de validité des certificats présente certains inconvénients. Il a été constaté qu'en augmentant la fréquence de remplacement des certificats, Apple et d'autres sociétés rendent également la vie un peu plus difficile aux propriétaires de sites et aux entreprises qui doivent gérer les certificats et la conformité.
D'un autre côté, Let's Encrypt et d'autres autorités de certification encouragent les webmasters à mettre en œuvre des procédures automatisées de mise à jour des certificats. Cela réduit la charge humaine et le risque d’erreurs à mesure que la fréquence de remplacement des certificats augmente.
Comme vous le savez, Let's Encrypt émet des certificats HTTPS gratuits qui expirent au bout de 90 jours et fournit des outils pour automatiser le renouvellement. Désormais, ces certificats s’intègrent encore mieux dans l’infrastructure globale, car les navigateurs fixent des limites de validité maximales.
Ce changement a été soumis au vote des membres du CA/Browser Forum, mais la décision .
résultats
Vote des émetteurs de certificats
Pour (11 voix): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anciennement Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contre (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ancien Vague de confiance)
Abstention (2): HARICA, TurkTrust
Les consommateurs de certificats votent
Pour (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contre: 0
Abstention: 0
Les navigateurs appliquent désormais cette politique sans le consentement des autorités de certification.
Source: habr.com