Sviluppatori del progetto Chromium , che fissa la durata massima dei certificati TLS a 398 giorni (13 mesi).
La condizione si applica a tutti i certificati server pubblici emessi dopo il 1 settembre 2020. Se il certificato non soddisfa questa regola, il browser lo rifiuterà come non valido e risponderà specificatamente con un errore ERR_CERT_VALIDITY_TOO_LONG.
Per i certificati ricevuti prima del 1 settembre 2020, verrà mantenuta la fiducia e (2,2 anni), come oggi.
In precedenza gli sviluppatori dei browser Firefox e Safari avevano introdotto limitazioni sulla durata massima dei certificati. Cambia anche tu .
Ciò significa che i siti Web che utilizzano certificati SSL/TLS di lunga durata emessi dopo il punto di interruzione genereranno errori di privacy nei browser.
Apple è stata la prima ad annunciare la nuova politica in una riunione del forum CA/Browser . Nell'introdurre la nuova regola, Apple ha promesso di applicarla a tutti i dispositivi iOS e macOS. Ciò eserciterà pressioni sugli amministratori e sugli sviluppatori dei siti Web affinché garantiscano che le loro certificazioni siano conformi.
La riduzione della durata dei certificati è stata discussa per mesi da Apple, Google e altri membri di CA/Browser. Questa politica ha i suoi vantaggi e svantaggi.
L’obiettivo di questa mossa è migliorare la sicurezza del sito Web garantendo che gli sviluppatori utilizzino certificati con gli standard crittografici più recenti e riducendo il numero di vecchi certificati dimenticati che potrebbero essere potenzialmente rubati e riutilizzati in attacchi di phishing e drive-by dannosi. Se gli aggressori riescono a violare la crittografia nello standard SSL/TLS, i certificati di breve durata garantiranno che le persone passino a certificati più sicuri in circa un anno.
La riduzione del periodo di validità dei certificati presenta alcuni svantaggi. È stato notato che aumentando la frequenza delle sostituzioni dei certificati, Apple e altre aziende stanno anche rendendo la vita un po’ più difficile ai proprietari di siti e alle aziende che devono gestire certificati e conformità.
D'altra parte, Let's Encrypt e altre autorità di certificazione incoraggiano i webmaster a implementare procedure automatizzate per l'aggiornamento dei certificati. Ciò riduce il carico umano e il rischio di errori man mano che aumenta la frequenza di sostituzione dei certificati.
Come sai, Let's Encrypt emette certificati HTTPS gratuiti che scadono dopo 90 giorni e fornisce strumenti per automatizzare il rinnovo. Ora questi certificati si adattano ancora meglio all’infrastruttura complessiva poiché i browser stabiliscono limiti massimi di validità.
Questa modifica è stata messa ai voti dai membri del CA/Browser Forum, ma la decisione .
Giudizio
Votazione dell'emittente del certificato
Per (11 voti): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (precedentemente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contro (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ex Trustwave)
Astenuto (2): HARICA, TurkTrust
Voto dei consumatori di certificati
Per (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contro: 0
Astenuto: 0
I browser ora applicano questa politica senza il consenso delle autorità di certificazione.
Fonte: habr.com