Forbróirí an tionscadail Cróimiam , которое устанавливает максимальный срок жизни TLS-сертификатов в 398 дней (13 месяцев).
Условие действует для всех публичных серверных сертификатов, выданных после 1 сентября 2020 года. Если сертификат не соответствует этому правилу, браузер будет отвергать его как недействительный, а конкретно отвечать ошибкой ERR_CERT_VALIDITY_TOO_LONG.
Для полученных до 1 сентября 2020 года сертификатов доверие будет сохранено и (2,2 года), как сегодня.
Ранее ограничение на максимальный срок жизни сертификатов внесли разработчики браузеров Firefox и Safari. Изменение тоже .
Это означает, что веб-сайты, использующие сертификаты SSL/TLS с длительным сроком службы, выпущенные после точки отсечения, будут выдавать ошибки конфиденциальности в браузерах.
Первой новую политику объявила Apple на заседании форума CA/Browser . Внедряя новое правило, Apple пообещала применять его на всех устройствах iOS и macOS. Это окажет давление на администраторов веб-сайтов и разработчиков, чтобы их сертификаты соответствовали требованиям.
Сокращение срока службы сертификатов уже несколько месяцев обсуждается Apple, Google и другими участниками CA/Browser. Эта политика имеет свои преимущества и недостатки.
Цель этого шага — повысить безопасность веб-сайта, убедившись, что разработчики используют сертификаты с новейшими криптографическими стандартами, и уменьшить количество старых, забытых сертификатов, которые потенциально могут быть украдены и повторно использованы для фишинга и вредоносных атак drive-by. Если злоумышленники смогут взломать криптографию в стандарте SSL/TLS, недолговечные сертификаты обеспечат людям переход на более безопасные сертификаты примерно через год.
Сокращение срока действия сертификатов имеет некоторые недостатки. Было отмечено, что, увеличивая частоту замены сертификатов, Apple и другие компании также немного усложняют жизнь владельцам сайтов и компаниям, которые должны управлять сертификатами и соответствием требованиям.
С другой стороны, Let’s Encrypt и другие центры сертификацию стимулируют веб-мастеров внедрять автоматизированные процедуры для обновления сертификатов. Это уменьшает человеческие накладные расходы и риск ошибок по мере увеличения частоты замены сертификатов.
Как известно, Let’s Encrypt выдаёт бесплатные HTTPS-сертификаты, срок действия которых истекает через 90 дней, и предоставляет инструменты для автоматизации продления. Так что теперь эти сертификаты ещё лучше вписываются в общую инфраструктуру — по мере того, как браузеры устанавливают ограничение на максимальный срок действия.
Данное изменение было выставлено на голосование участниками ассоциации CA/Browser Forum, но решение .
Torthaí
Vótáil Eisitheoir Teastais
Ar son (11 vóta): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (Comodo CA roimhe seo), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
in aghaidh (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (form Iontaobhas)
Staonadh (2): HARICA, TurkTrust
Vótáil tomhaltóirí deimhnithe
le haghaidh (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Aghaidh: 0
Staon: 0
Теперь браузеры принудительно вводят эту политику без согласия удостоверяющих центров.
Foinse: will.com