Programeri Chromium projekta napravio promjenu, koji postavlja maksimalni vijek trajanja TLS certifikata na 398 dana (13 mjeseci).

Ovaj uvjet odnosi se na sve certifikate javnih poslužitelja izdane nakon 1. rujna 2020. Ako certifikat nije u skladu s ovim pravilom, preglednik će ga odbaciti kao nevažeći, odnosno odgovoriti s pogreškom. ERR_CERT_VALIDITY_TOO_LONG.

Za certifikate primljene prije 1. rujna 2020., povjerenje će se održavati i ograničeno na 825 dana (2,2 godine), kao i danas.

Prethodno su programeri preglednika Firefox i Safari uveli ograničenje maksimalnog životnog vijeka certifikata. Promjena je također bila stupa na snagu 1. rujna.

To znači da će web-stranice koje koriste dugotrajne SSL/TLS certifikate izdane nakon granične vrijednosti izbacivati pogreške privatnosti u preglednicima.

Apple je prvi najavio novu politiku na sastanku foruma CA/Browser. veljače 2020Prilikom implementacije novog pravila, Apple je obećao da će ga primijeniti na sve iOS uređaje i macOSTo će vršiti pritisak na administratore i razvojne programere web stranica da osiguraju da njihovi certifikati ispunjavaju zahtjeve.

Apple, Google i drugi sudionici CA/Browsera već nekoliko mjeseci raspravljaju o skraćivanju životnog vijeka certifikata. Ova politika ima svoje prednosti i nedostatke.

Cilj ovog koraka je poboljšati sigurnost web stranice osiguravanjem da programeri koriste certifikate s najnovijim kriptografskim standardima i smanjenjem broja starih, zaboravljenih certifikata koji bi potencijalno mogli biti ukradeni i ponovno korišteni za phishing i drive-by napade. Ako napadači uspiju probiti kriptografiju u SSL/TLS standardu, kratkotrajni certifikati osigurat će da ljudi migriraju na sigurnije certifikate u roku od otprilike godinu dana.

Skraćivanje razdoblja važenja certifikata ima neke nedostatke. Primijećeno je da povećanjem učestalosti zamjene certifikata Apple i druge tvrtke također malo otežavaju život vlasnicima web stranica i tvrtkama koje trebaju upravljati certifikatima i usklađenošću.

S druge strane, Let's Encrypt i drugi certifikacijski autoriteti potiču webmastere na implementaciju automatiziranih postupaka obnove certifikata. To smanjuje ljudski opterećenje i rizik od pogrešaka kako se obnavljanje certifikata povećava.

Kao što znate, Let's Encrypt izdaje besplatne HTTPS certifikate koji istječu nakon 90 dana i pruža alate za automatizaciju obnove. Dakle, ovi certifikati se sada još bolje uklapaju u cjelokupnu infrastrukturu, jer preglednici nameću maksimalno razdoblje valjanosti.

Ovu promjenu su na glasanje stavili članovi udruženja CA/Browser Forum, ali odluka nije odobreno zbog neslaganja certifikacijskih tijela.

Nalazi

Glasovanje izdavatelja certifikata

Za (11 glasova): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (bivši Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Protiv (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (bivši Trustwave)
Suzdržan (2): HARICA, TurkTrust