Chromium 프로젝트의 개발자 변경했습니다, TLS 인증서의 최대 수명을 398일(13개월)로 설정합니다.

해당 조건은 1년 2020월 XNUMX일 이후 발급된 모든 공용 서버 인증서에 적용됩니다. 인증서가 이 규칙과 일치하지 않으면 브라우저는 인증서를 유효하지 않은 것으로 거부하고 구체적으로 오류로 응답합니다. ERR_CERT_VALIDITY_TOO_LONG.

1년 2020월 XNUMX일 이전에 받은 인증서의 경우 신뢰가 유지되며 825일로 제한 (2,2년) 오늘처럼요.

이전에는 Firefox 및 Safari 브라우저 개발자가 인증서의 최대 수명에 대한 제한 사항을 도입했습니다. 변화도 1월 XNUMX일부터 시행된다.

이는 차단 지점 이후에 발급된 장기 SSL/TLS 인증서를 사용하는 웹사이트가 브라우저에서 개인 정보 보호 오류를 발생시킨다는 것을 의미합니다.

Apple은 CA/브라우저 포럼 회의에서 처음으로 새로운 정책을 발표했습니다. 2020 년 XNUMX 월. Apple은 새로운 규칙을 도입하면서 이를 모든 iOS 및 macOS 장치에 적용하겠다고 약속했습니다. 이는 웹 사이트 관리자와 개발자에게 인증이 규정을 준수하는지 확인하라는 압력을 가할 것입니다.

Apple, Google 및 기타 CA/브라우저 회원들은 인증서 수명 단축에 대해 몇 달 동안 논의해 왔습니다. 이 정책에는 장점과 단점이 있습니다.

이러한 움직임의 목표는 개발자가 최신 암호화 표준이 적용된 인증서를 사용하도록 하여 웹사이트 보안을 강화하고 잠재적으로 도난당하여 피싱 및 악의적인 드라이브 바이 공격에 재사용될 수 있는 오래되고 잊어버린 인증서의 수를 줄이는 것입니다. 공격자가 SSL/TLS 표준의 암호화를 해독할 수 있는 경우 수명이 짧은 인증서를 사용하면 약 XNUMX년 안에 사람들이 보다 안전한 인증서로 전환할 수 있습니다.

인증서의 유효 기간을 단축하면 몇 가지 단점이 있습니다. 인증서 교체 빈도가 높아짐에 따라 Apple과 다른 회사들도 인증서와 규정 준수를 관리해야 하는 사이트 소유자와 회사의 생활을 좀 더 어렵게 만들고 있다는 사실이 지적되었습니다.

반면, Let's Encrypt 및 기타 인증 기관에서는 웹마스터가 인증서 업데이트를 위한 자동화된 절차를 구현하도록 권장합니다. 이렇게 하면 인증서 교체 빈도가 증가함에 따라 인적 오버헤드와 오류 위험이 줄어듭니다.

아시다시피 Let's Encrypt는 90일 후에 만료되는 무료 HTTPS 인증서를 발급하고 갱신을 자동화하는 도구를 제공합니다. 이제 브라우저가 최대 유효성 제한을 설정하므로 이러한 인증서는 전체 인프라에 훨씬 더 적합합니다.

이 변경 사항은 CA/브라우저 포럼 회원의 투표에 부쳐졌지만 결정은 인증기관의 불일치로 승인되지 않았습니다..

조사 결과

인증서 발급자 투표

찬성 (11표): Amazon, Buypass, Certigna(DHIMYOTIS), certSIGN, Sectigo(이전 Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

반대 (20): Camerfirma, Certum(Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust(전) 트러스트웨이브)

기권 (2): HARICA, 터크트러스트

인증서 소비자 투표

(7)의 경우: 애플, 시스코, 구글, 마이크로소프트, 모질라, 오페라, 360

에 대하여: 0

기권: 0

이제 브라우저는 인증 기관의 동의 없이 이 정책을 시행합니다.

출처 : habr.com