Desenvolvedores do proxecto Chromium , que establece a vida útil máxima dos certificados TLS en 398 días (13 meses).
A condición aplícase a todos os certificados de servidor público emitidos despois do 1 de setembro de 2020. Se o certificado non coincide con esta regra, o navegador rexeitarao como non válido e responderá especificamente cun erro ERR_CERT_VALIDITY_TOO_LONG.
Para os certificados recibidos antes do 1 de setembro de 2020, manterase a confianza e (2,2 anos), coma hoxe.
Anteriormente, os desenvolvedores dos navegadores Firefox e Safari introducían restricións sobre a vida útil máxima dos certificados. Cambia tamén .
Isto significa que os sitios web que usan certificados SSL/TLS de longa duración emitidos despois do punto de corte xerarán erros de privacidade nos navegadores.
Apple foi o primeiro en anunciar a nova política nunha reunión do foro CA/Browser . Ao presentar a nova regra, Apple prometeu aplicala a todos os dispositivos iOS e macOS. Isto presionará aos administradores e desenvolvedores de sitios web para garantir que as súas certificacións cumpran.
Apple, Google e outros membros de CA/Browser discuten durante meses a redución da vida útil dos certificados. Esta política ten as súas vantaxes e desvantaxes.
O obxectivo deste movemento é mellorar a seguridade do sitio web garantindo que os desenvolvedores utilicen certificados cos estándares criptográficos máis recentes e reducir o número de certificados antigos e esquecidos que poderían ser roubados e reutilizados en ataques de phishing e ataques maliciosos. Se os atacantes poden romper a criptografía no estándar SSL/TLS, os certificados de curta duración garantirán que as persoas cambien a certificados máis seguros nun ano aproximadamente.
Acurtar o período de validez dos certificados ten algunhas desvantaxes. Observouse que ao aumentar a frecuencia de substitucións de certificados, Apple e outras empresas tamén están dificultando un pouco a vida dos propietarios de sitios e das empresas que deben xestionar os certificados e o cumprimento.
Por outra banda, Let's Encrypt e outras autoridades de certificación animan aos administradores web a implementar procedementos automatizados para actualizar os certificados. Isto reduce a sobrecarga humana e o risco de erros a medida que aumenta a frecuencia de substitución do certificado.
Como sabes, Let's Encrypt emite certificados HTTPS gratuítos que caducan aos 90 días e ofrece ferramentas para automatizar a renovación. Entón, agora estes certificados encaixan aínda mellor na infraestrutura xeral xa que os navegadores establecen límites máximos de validez.
Este cambio foi sometido a votación polos membros do CA/Browser Forum, pero a decisión .
Descubrimentos
Votación do emisor do certificado
Para (11 votos): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
En contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (anteriormente Onda de confianza)
Abstención (2): HARICA, TurkTrust
Certificado de voto dos consumidores
Para (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contra: 0
Abstívose: 0
Agora os navegadores aplican esta política sen o consentimento das autoridades de certificación.
Fonte: www.habr.com