Chromium долбоорун иштеп чыгуучулар , бул TLS сертификаттарынын максималдуу иштөө мөөнөтүн 398 күнгө (13 ай) орнотот.
Шарт 1-жылдын 2020-сентябрынан кийин чыгарылган бардык коомдук сервер сертификаттарына тиешелүү. Эгер сертификат бул эрежеге дал келбесе, браузер аны жараксыз деп четке кагат жана ката менен жооп берет ERR_CERT_VALIDITY_TOO_LONG.
1-жылдын 2020-сентябрына чейин алынган сертификаттар үчүн ишеним сакталат жана (2,2 жыл), азыркыдай.
Буга чейин Firefox жана Safari браузерлерин иштеп чыгуучулар сертификаттардын максималдуу иштөө мөөнөтү боюнча чектөөлөрдү киргизишкен. Өзгөрт да .
Бул кесүү чекитинен кийин берилген узак мөөнөттүү SSL/TLS сертификаттарын колдонгон веб-сайттар браузерлерде купуялык каталарын ыргытат дегенди билдирет.
Apple CA/Browser форумунун жыйынында жаңы саясатты биринчилерден болуп жарыялады . Жаңы эрежени киргизүүдө Apple аны бардык iOS жана macOS түзмөктөрүндө колдонууга убада кылган. Бул веб-сайттын администраторлоруна жана иштеп чыгуучуларына алардын сертификаттары шайкеш келишин камсыз кылуу үчүн кысым көрсөтөт.
Сертификаттардын иштөө мөөнөтүн кыскартуу Apple, Google жана башка CA/Browser мүчөлөрү тарабынан бир нече ай бою талкууланып келет. Бул саясаттын жакшы жактары да, кемчиликтери да бар.
Бул кадамдын максаты - иштеп чыгуучулардын эң акыркы криптографиялык стандарттары бар сертификаттарды колдонуусун камсыз кылуу аркылуу веб-сайттын коопсуздугун жакшыртуу жана фишинг жана зыяндуу диск аркылуу чабуулдарда уурдалып, кайра колдонулушу мүмкүн болгон эски, унутулуп калган сертификаттардын санын азайтуу. Эгерде чабуулчулар SSL/TLS стандартындагы криптографияны бузуп алса, кыска мөөнөттүү сертификаттар адамдардын болжол менен бир жылдан кийин коопсуз сертификаттарга өтүшүн камсыздайт.
Күбөлүктөрдүн жарактуу мөөнөтүн кыскартуунун кээ бир кемчиликтери бар. Белгиленгендей, сертификаттарды алмаштыруунун жыштыгын көбөйтүү менен, Apple жана башка компаниялар да сертификаттарды жана шайкештикти башкарууга тийиш болгон сайт ээлеринин жана компаниялардын жашоосун бир аз кыйындатып жатышат.
Экинчи жагынан, Let's Encrypt жана башка сертификат органдары веб-мастерлерди сертификаттарды жаңыртуу үчүн автоматташтырылган процедураларды ишке ашырууга үндөйт. Бул адамдын ашыкча чыгымын азайтат жана күбөлүктөрдү алмаштыруунун жыштыгы көбөйгөн сайын ката коркунучун азайтат.
Белгилүү болгондой, Let's Encrypt 90 күндөн кийин мөөнөтү бүтө турган акысыз HTTPS тастыктамаларын чыгарат жана жаңыртууну автоматташтыруу үчүн куралдар менен камсыз кылат. Ошентип, азыр бул сертификаттар жалпы инфраструктурага дагы жакшыраак туура келет, анткени браузерлер максималдуу жарактуу чектерди коюшат.
Бул өзгөртүү CA/Browser Forum мүчөлөрү тарабынан добушка коюлду, бирок чечим .
натыйжалары
Сертификат берүүчүнүн добушу
Макул (11 добуш): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (мурдагы Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
каршы (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustTrust (Secure) Trustwave)
Калыс калган (2): HARICA, TurkTrust
Сертификат керектөөчүлөрдүн добуш берүүсү
үчүн (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
каршы: 0
Калыс калды: 0
Браузерлер эми бул саясатты тастыктама органдарынын макулдугусуз ишке ашырышат.
Source: www.habr.com