A Chromium projekt fejlesztői , amely a TLS-tanúsítványok maximális élettartamát 398 napra (13 hónapra) állítja be.
A feltétel minden 1. szeptember 2020. után kiadott nyilvános szervertanúsítványra vonatkozik. Ha a tanúsítvány nem felel meg ennek a szabálynak, a böngésző elutasítja, mint érvénytelen, és konkrétan hibával válaszol ERR_CERT_VALIDITY_TOO_LONG.
A 1. szeptember 2020. előtt kapott tanúsítványok esetében a bizalom megmarad és (2,2 év), mint ma.
Korábban a Firefox és a Safari böngészők fejlesztői korlátozásokat vezettek be a tanúsítványok maximális élettartamára vonatkozóan. Változás is .
Ez azt jelenti, hogy a hosszú élettartamú SSL/TLS-tanúsítványokat használó webhelyek, amelyeket a határérték után bocsátottak ki, adatvédelmi hibákat dobnak a böngészőkbe.
Az Apple volt az első, aki bejelentette az új szabályzatot a CA/Browser fórum ülésén . Az új szabály bevezetésekor az Apple megígérte, hogy minden iOS és macOS eszközre alkalmazni fogja. Ez nyomást fog gyakorolni a webhely-adminisztrátorokra és a fejlesztőkre, hogy biztosítsák tanúsítványaik megfelelőségét.
A tanúsítványok élettartamának lerövidítéséről hónapok óta beszélnek az Apple, a Google és más CA/Browser tagok. Ennek a politikának megvannak a maga előnyei és hátrányai.
Ennek a lépésnek a célja a webhelyek biztonságának javítása azáltal, hogy a fejlesztők a legújabb kriptográfiai szabványoknak megfelelő tanúsítványokat használják, valamint csökkenti a régi, elfelejtett tanúsítványok számát, amelyek potenciálisan ellophatók és adathalászatban és rosszindulatú drive-by támadásokban újra felhasználhatók. Ha a támadók meg tudják törni az SSL/TLS szabvány titkosítását, a rövid élettartamú tanúsítványok biztosítják, hogy az emberek körülbelül egy éven belül biztonságosabb tanúsítványokra váltsanak.
A tanúsítványok érvényességi idejének lerövidítésének vannak hátrányai. Megállapították, hogy a tanúsítványcserék gyakoriságának növelésével az Apple és más cégek egy kicsit megnehezítik a webhelytulajdonosok és a tanúsítványokat és megfelelőséget kezelő cégek életét.
Másrészt a Let's Encrypt és más tanúsító hatóságok arra ösztönzik a webmestereket, hogy automatizált eljárásokat hajtsanak végre a tanúsítványok frissítésére. Ez csökkenti az emberi többletköltséget és a hibák kockázatát a tanúsítványcsere gyakoriságának növekedésével.
Mint tudja, a Let's Encrypt ingyenes HTTPS-tanúsítványokat bocsát ki, amelyek 90 nap után lejárnak, és eszközöket biztosít a megújítás automatizálásához. Így most ezek a tanúsítványok még jobban illeszkednek a teljes infrastruktúrába, mivel a böngészők maximális érvényességi korlátokat határoznak meg.
Ezt a változtatást szavazásra bocsátották a CA/Browser Forum tagjai, de a döntést .
Álláspontja
Tanúsítványkibocsátó szavazás
Mert (11 szavazat): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (korábban Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
ellen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Hálózati megoldások, OATI, SECOM, SwissSign, TWCA, TrustTrustCor, Secure Trustwave)
Tartózkodott (2): HARICA, TurkTrust
Tanúsítvány fogyasztók szavaznak
(7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Ellen: 0
Tartózkodott: 0
A böngészők ezentúl a tanúsító hatóságok hozzájárulása nélkül érvényesítik ezt az irányelvet.
Forrás: will.com