Chromium նախագծի մշակողները , որը սահմանում է TLS վկայագրերի առավելագույն ժամկետը 398 օր (13 ամիս):
Պայմանը վերաբերում է 1 թվականի սեպտեմբերի 2020-ից հետո թողարկված բոլոր հանրային սերվերի վկայագրերին: Եթե վկայագիրը չի համապատասխանում այս կանոնին, զննարկիչը կմերժի այն որպես անվավեր և հատուկ կպատասխանի սխալով ERR_CERT_VALIDITY_TOO_LONG.
Մինչև 1 թվականի սեպտեմբերի 2020-ը ստացված վկայականների համար վստահությունը կպահպանվի և (2,2 տարի), ինչպես այսօր։
Նախկինում Firefox և Safari բրաուզերների մշակողները սահմանափակումներ էին մտցրել սերտիֆիկատների առավելագույն ժամկետի վերաբերյալ: Փոփոխեք նաև .
Սա նշանակում է, որ այն կայքերը, որոնք օգտագործում են երկարաժամկետ SSL/TLS վկայականներ, որոնք թողարկվել են անջատման կետից հետո, գաղտնիության սխալներ կհայտնեն բրաուզերներում:
Apple-ն առաջինն էր, ով հայտարարեց նոր քաղաքականության մասին CA/Browser ֆորումի հանդիպման ժամանակ . Նոր կանոնը ներկայացնելիս Apple-ը խոստացել է կիրառել այն բոլոր iOS և macOS սարքերի վրա։ Սա ճնշում կգործադրի վեբ կայքերի ադմինիստրատորների և մշակողների վրա՝ ապահովելու իրենց հավաստագրերի համապատասխանությունը:
Վկայագրերի ժամկետի կրճատումը ամիսներ շարունակ քննարկվել է Apple-ի, Google-ի և CA/Browser-ի այլ անդամների կողմից: Այս քաղաքականությունն ունի իր առավելություններն ու թերությունները:
Այս քայլի նպատակն է բարելավել վեբկայքի անվտանգությունը՝ ապահովելով, որ մշակողները օգտագործում են վերջին կրիպտոգրաֆիկ ստանդարտներով հավաստագրերը և նվազեցնել հին, մոռացված վկայագրերի թիվը, որոնք կարող են գողացվել և նորից օգտագործվել ֆիշինգի և չարամիտ հարձակումների մեջ: Եթե հարձակվողները կարողանան կոտրել SSL/TLS ստանդարտի գաղտնագրությունը, կարճատև վկայագրերը կապահովեն, որ մարդիկ մոտ մեկ տարի անց կանցնեն ավելի ապահով վկայագրերի:
Վկայականների վավերականության ժամկետի կրճատումն ունի որոշ թերություններ. Նշվել է, որ մեծացնելով սերտիֆիկատների փոխարինման հաճախականությունը՝ Apple-ը և այլ ընկերությունները նույնպես մի փոքր ավելի են դժվարացնում կայքի սեփականատերերի և ընկերությունների կյանքը, որոնք պետք է կառավարեն վկայագրերը և համապատասխանությունը:
Մյուս կողմից, Let's Encrypt-ը և հավաստագրերի այլ մարմինները խրախուսում են վեբ վարպետներին իրականացնել վկայագրերի թարմացման ավտոմատացված ընթացակարգեր: Սա նվազեցնում է մարդկային ծախսերը և սխալների վտանգը, քանի որ վկայագրի փոխարինման հաճախականությունը մեծանում է:
Ինչպես գիտեք, Let's Encrypt-ը թողարկում է անվճար HTTPS վկայագրեր, որոնց ժամկետը լրանում է 90 օր հետո և տրամադրում է նորացման ավտոմատացման գործիքներ: Այսպիսով, այժմ այս վկայագրերն ավելի լավ են տեղավորվում ընդհանուր ենթակառուցվածքում, քանի որ բրաուզերները սահմանում են վավերականության առավելագույն սահմանաչափեր:
Այս փոփոխությունը քվեարկության է դրվել CA/Browser Forum-ի անդամների կողմից, սակայն որոշումը .
Արդյունքները
Վկայական թողարկողի քվեարկություն
Կողմ (11 ձայն)Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (նախկինում Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Դեմ (20)Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCATrustform, Trustwave)
Ձեռնպահ (2)HARICA, TurkTrust
Վկայական սպառողների քվեարկություն
(7)-ի համարApple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Դեմ: 0
Ձեռնպահ քվեարկեց: 0
Բրաուզերներն այժմ կիրառում են այս քաղաքականությունը՝ առանց սերտիֆիկատի մարմինների համաձայնության:
Source: www.habr.com