Chromium プロジェクトの開発者 これにより、TLS 証明書の最大有効期間が 398 日 (13 か月) に設定されます。
この条件は、1 年 2020 月 XNUMX 日以降に発行されたすべてのパブリック サーバー証明書に適用されます。 証明書がこのルールに一致しない場合、ブラウザは証明書を無効として拒否し、具体的にエラーを返します。 ERR_CERT_VALIDITY_TOO_LONG.
1 年 2020 月 XNUMX 日より前に受け取った証明書については、信頼が維持され、 (2,2年)今日みたいに。
以前、Firefox および Safari ブラウザの開発者は、証明書の最大有効期間に関する制限を導入しました。 変化も .
これは、カットオフポイント以降に発行された有効期間の長い SSL/TLS 証明書を使用する Web サイトでは、ブラウザーでプライバシー エラーがスローされることを意味します。
Apple は CA/ブラウザ フォーラムの会議で最初に新しいポリシーを発表しました 。 新しいルールを導入する際、Apple はそれをすべての iOS および macOS デバイスに適用すると約束しました。 これにより、Web サイト管理者と開発者は、認定が確実に準拠していることを確認する必要があります。
証明書の有効期間の短縮については、Apple、Google、その他の CA/Browser メンバーによって数か月間議論されてきました。 この政策には長所と短所があります。
この動きの目標は、開発者が最新の暗号化標準を備えた証明書を使用することを保証することで Web サイトのセキュリティを向上させ、フィッシングや悪意のあるドライブバイ攻撃で盗まれて再利用される可能性がある古い忘れられた証明書の数を減らすことです。 攻撃者が SSL/TLS 標準の暗号化を破ることができた場合、証明書の有効期間が短いため、ユーザーは約 XNUMX 年以内により安全な証明書に切り替えることになります。
証明書の有効期間を短縮すると、いくつかのデメリットがあります。 Apple やその他の企業も、証明書の置き換え頻度を増やすことで、証明書とコンプライアンスを管理しなければならないサイト所有者や企業の業務を少し困難にしていることが指摘されています。
一方、Let's Encrypt やその他の認証局は、ウェブマスターに対し、証明書を更新するための自動化手順を実装することを奨励しています。 これにより、証明書の置き換え頻度が増加するにつれて人的オーバーヘッドとエラーのリスクが軽減されます。
ご存知のとおり、Let's Encrypt は 90 日後に有効期限が切れる無料の HTTPS 証明書を発行し、更新を自動化するツールを提供します。 そのため、ブラウザーが有効性の最大制限を設定することで、これらの証明書がインフラストラクチャ全体にさらに適合するようになりました。
この変更は CA/ブラウザ フォーラムのメンバーによって投票されましたが、決定は .
結果
証明書発行者の投票
賛成 (11 票): Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo (旧 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反対 (20): Camerfirma、Certum (Asseco)、CFCA、中華電信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firma professional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCA、TrustCor、SecureTrust (旧)トラストウェーブ)
棄権 (2): HARICA、タークトラスト
証明書消費者の投票
(7)について: アップル、シスコ、グーグル、マイクロソフト、モジラ、オペラ、360
Против:007
棄権:007
現在、ブラウザーは認証局の同意なしにこのポリシーを強制します。
出所: habr.com