Pengembang proyek Chromium , yang menetapkan masa pakai maksimum sertifikat TLS menjadi 398 hari (13 bulan).
Ketentuan ini berlaku untuk semua sertifikat server publik yang diterbitkan setelah tanggal 1 September 2020. Jika sertifikat tidak sesuai dengan aturan ini, browser akan menolaknya karena tidak valid dan secara khusus merespons dengan kesalahan ERR_CERT_VALIDITY_TOO_LONG.
Untuk sertifikat yang diterima sebelum 1 September 2020, kepercayaan akan tetap terjaga dan (2,2 tahun), seperti saat ini.
Sebelumnya, pengembang browser Firefox dan Safari memberlakukan batasan umur maksimum sertifikat. Berubah juga .
Artinya, situs web yang menggunakan sertifikat SSL/TLS jangka panjang yang diterbitkan setelah titik batas akan menimbulkan kesalahan privasi di browser.
Apple adalah orang pertama yang mengumumkan kebijakan baru ini pada pertemuan forum CA/Browser . Saat memperkenalkan aturan baru tersebut, Apple berjanji akan menerapkannya ke semua perangkat iOS dan macOS. Hal ini akan memberikan tekanan pada administrator dan pengembang situs web untuk memastikan kepatuhan sertifikasi mereka.
Memperpendek umur sertifikat telah dibahas selama berbulan-bulan oleh Apple, Google, dan anggota CA/Browser lainnya. Kebijakan ini mempunyai kelebihan dan kekurangan.
Tujuan dari langkah ini adalah untuk meningkatkan keamanan situs web dengan memastikan bahwa pengembang menggunakan sertifikat dengan standar kriptografi terbaru, dan untuk mengurangi jumlah sertifikat lama yang terlupakan yang berpotensi dicuri dan digunakan kembali dalam serangan phishing dan drive-by yang berbahaya. Jika penyerang dapat memecahkan kriptografi dalam standar SSL/TLS, sertifikat yang berumur pendek akan memastikan bahwa orang-orang beralih ke sertifikat yang lebih aman dalam waktu sekitar satu tahun.
Memperpendek masa berlaku sertifikat mempunyai beberapa kelemahan. Perlu dicatat bahwa dengan meningkatkan frekuensi penggantian sertifikat, Apple dan perusahaan lain juga mempersulit pemilik situs dan perusahaan yang harus mengelola sertifikat dan kepatuhan.
Di sisi lain, Let's Encrypt dan otoritas sertifikat lainnya mendorong webmaster untuk menerapkan prosedur otomatis untuk memperbarui sertifikat. Hal ini mengurangi overhead manusia dan risiko kesalahan seiring dengan meningkatnya frekuensi penggantian sertifikat.
Seperti yang Anda ketahui, Let's Encrypt mengeluarkan sertifikat HTTPS gratis yang kedaluwarsa setelah 90 hari dan menyediakan alat untuk mengotomatiskan pembaruan. Jadi sekarang sertifikat ini lebih cocok dengan keseluruhan infrastruktur karena browser menetapkan batas validitas maksimum.
Perubahan ini dilakukan melalui pemungutan suara oleh anggota CA/Forum Browser, namun merupakan keputusan .
Temuan
Pemungutan Suara Penerbit Sertifikat
Untuk (11 suara): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (sebelumnya Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Melawan (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (sebelumnya gelombang kepercayaan)
Abstain (2): HARICA, TurkTrust
Sertifikat pemungutan suara konsumen
Untuk (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Terhadap: 0
Abstain: 0
Browser sekarang menerapkan kebijakan ini tanpa persetujuan otoritas sertifikat.
Sumber: www.habr.com