Entwéckler vum Chromium Projet eng Ännerung gemaach, déi d'maximal Liewensdauer vun TLS Certificaten op 398 Deeg (13 Méint) setzt.

D'Konditioun gëlt fir all ëffentlech Serverzertifikater, déi nom 1. September 2020 ausgestallt goufen. Wann den Zertifikat net mat dëser Regel entsprécht, refuséiert de Browser et als ongëlteg a reagéiert speziell mat engem Feeler ERR_CERT_VALIDITY_TOO_LONG.

Fir Certificaten, déi virum September 1, 2020 kritt goufen, gëtt d'Vertrauen erhale bleiwen an limitéiert op 825 Deeg (2,2 Joer), wéi haut.

Virdrun hunn d'Entwéckler vun de Firefox a Safari Browser Restriktiounen op déi maximal Liewensdauer vun Zertifikater agefouert. Änneren och trëtt den 1. September a Kraaft.

Dëst bedeit datt Websäiten déi laang Liewensdauer SSL / TLS Zertifikater benotzen, déi nom Ofschnëttpunkt erausginn, Privatsphärfehler an de Browser werfen.

Apple war déi éischt fir déi nei Politik op enger Reunioun vum CA/Browser Forum ze verkënnegen am Februar 2020Bei der Ëmsetzung vun der neier Regel huet Apple versprach, se op all iOS-Geräter anzuwenden. macOSDëst wäert Drock op Websäitenadministrateuren an Entwéckler ausüben, fir sécherzestellen, datt hir Zertifikater den Ufuerderungen entspriechen.

D'Kierzung vun der Liewensdauer vun den Zertifikater gouf fir Méint vun Apple, Google an aner CA/Browser Memberen diskutéiert. Dës Politik huet seng Virdeeler an Nodeeler.

D'Zil vun dëser Beweegung ass d'Sécherheet vun der Websäit ze verbesseren andeems d'Entwéckler Certificaten mat de leschten kryptographesche Standarden benotzen, an d'Zuel vun alen, vergiessene Certificaten ze reduzéieren déi potenziell geklaut a weiderbenotzt kënne ginn a Phishing a béiswëlleg Drive-by Attacken. Wann Ugräifer d'Kryptographie am SSL / TLS Standard briechen kënnen, suergen kuerzlieweg Certificaten datt d'Leit an ongeféier engem Joer op méi sécher Zertifikater wiesselen.

Ofkierzung vun der Validitéit Period vun Certificaten huet e puer Nodeeler. Et gouf bemierkt datt duerch d'Erhéijung vun der Frequenz vun den Zertifikat Ersatzstécker Apple an aner Firmen och d'Liewen e bësse méi schwéier maachen fir Sitebesëtzer a Firmen déi Zertifikater a Konformitéit managen mussen.

Op der anerer Säit, Let's Encrypt an aner Zertifizéierungsautoritéiten encouragéieren Webmasteren fir automatiséiert Prozedure fir d'Aktualiséierung vun Zertifikater ëmzesetzen. Dëst reduzéiert de mënschleche Overhead an de Risiko vu Feeler wéi d'Frequenz vum Zertifikat Ersatz eropgeet.

Wéi Dir wësst, léisst Let's Encrypt gratis HTTPS Zertifikater erausginn, déi no 90 Deeg oflafen an Tools ubidden fir d'Erneierung ze automatiséieren. Also elo passen dës Certificaten nach besser an d'allgemeng Infrastruktur well Browser maximal Validitéitsgrenze setzen.

Dës Ännerung gouf vun Membere vum CA / Browser Forum gestëmmt, awer d'Entscheedung gouf net guttgeheescht wéinst Desaccord vun Zertifizéierungsautoritéiten.

Resultater

Zertifikat Emittent Voting

Fir (11 Stëmmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (fréier Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Géint (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (fréier Trustwave)
Enthale (2): HARICA, TurkTrust