Programeri Chromium projekta , koji postavlja maksimalni životni vijek TLS certifikata na 398 dana (13 mjeseci).
Uvjet se odnosi na sve certifikate javnih poslužitelja izdane nakon 1. rujna 2020. Ako certifikat ne odgovara ovom pravilu, preglednik će ga odbaciti kao nevažeći i posebno odgovoriti s pogreškom ERR_CERT_VALIDITY_TOO_LONG.
Za certifikate primljene prije 1. rujna 2020. povjerenje će se zadržati i (2,2 godine), kao i danas.
Prethodno su programeri preglednika Firefox i Safari uveli ograničenja maksimalnog vijeka trajanja certifikata. Promijenite također .
To znači da će web-mjesta koja koriste dugotrajne SSL/TLS certifikate izdane nakon granične točke izazvati pogreške u vezi s privatnošću u preglednicima.
Apple je prvi najavio novu politiku na sastanku CA/Browser foruma . Apple je prilikom uvođenja novog pravila obećao da će ga primijeniti na sve iOS i macOS uređaje. To će izvršiti pritisak na administratore web stranica i programere da osiguraju usklađenost svojih certifikata.
Apple, Google i drugi članovi CA/Browsera već mjesecima raspravljaju o skraćivanju vijeka trajanja certifikata. Ova politika ima svoje prednosti i nedostatke.
Cilj ovog poteza je poboljšati sigurnost web stranice osiguravanjem da programeri koriste certifikate s najnovijim kriptografskim standardima i smanjiti broj starih, zaboravljenih certifikata koji bi potencijalno mogli biti ukradeni i ponovno korišteni u krađi identiteta i zlonamjernim napadima. Ako napadači mogu razbiti kriptografiju u SSL/TLS standardu, kratkotrajni certifikati osigurat će da ljudi prijeđu na sigurnije certifikate za otprilike godinu dana.
Skraćivanje roka valjanosti certifikata ima neke nedostatke. Primjećeno je da povećanjem učestalosti zamjena certifikata, Apple i druge tvrtke također malo otežavaju život vlasnicima stranica i tvrtkama koje moraju upravljati certifikatima i usklađenošću.
S druge strane, Let's Encrypt i drugi autoriteti certifikata potiču webmastere na implementaciju automatiziranih postupaka za ažuriranje certifikata. To smanjuje ljudske troškove i rizik od pogrešaka s povećanjem učestalosti zamjene certifikata.
Kao što znate, Let's Encrypt izdaje besplatne HTTPS certifikate koji istječu nakon 90 dana i pruža alate za automatizirano obnavljanje. Sada se ti certifikati još bolje uklapaju u cjelokupnu infrastrukturu jer preglednici postavljaju maksimalne granice valjanosti.
Ovu promjenu stavili su na glasovanje članovi CA/Browser Foruma, ali odluka .
Nalazi
Glasovanje izdavatelja certifikata
Za (11 glasova): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (bivši Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Protiv (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (bivši Trustwave)
Suzdržan (2): HARICA, TurkTrust
Potvrda glasanja potrošača
za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Protiv: 0
Suzdržan: 0
Preglednici sada provode ovo pravilo bez pristanka certifikacijskih tijela.
Izvor: www.habr.com