„Chromium“ projekto kūrėjai , kuriame nustatytas maksimalus TLS sertifikatų galiojimo laikas – 398 dienos (13 mėnesių).
Sąlyga taikoma visiems viešųjų serverių sertifikatams, išduotiems po 1 m. rugsėjo 2020 d. Jei sertifikatas neatitinka šios taisyklės, naršyklė jį atmes kaip negaliojantį ir konkrečiai atsakys pateikdama klaidą ERR_CERT_VALIDITY_TOO_LONG.
Pažymėjimais, gautais iki 1 m. rugsėjo 2020 d., bus išlaikytas pasitikėjimas ir (2,2 metų), kaip ir šiandien.
Anksčiau „Firefox“ ir „Safari“ naršyklių kūrėjai įvedė maksimalios sertifikatų galiojimo trukmės apribojimus. Keisk irgi .
Tai reiškia, kad svetainės, kuriose naudojami ilgalaikiai SSL/TLS sertifikatai, išduoti po ribinio taško, naršyklėse sukels privatumo klaidų.
„Apple“ pirmoji paskelbė apie naująją politiką CA / naršyklės forumo susitikime . Įvesdama naują taisyklę „Apple“ pažadėjo ją pritaikyti visuose „iOS“ ir „macOS“ įrenginiuose. Tai darys spaudimą svetainių administratoriams ir kūrėjams užtikrinti, kad jų sertifikatai atitiktų reikalavimus.
„Apple“, „Google“ ir kiti CA / naršyklės nariai diskutavo apie sertifikatų galiojimo trukmės sutrumpinimą. Ši politika turi savo privalumų ir trūkumų.
Šio žingsnio tikslas – pagerinti svetainės saugumą užtikrinant, kad kūrėjai naudotų sertifikatus su naujausiais kriptografijos standartais, ir sumažinti senų, pamirštų sertifikatų, kurie gali būti pavogti ir pakartotinai panaudoti sukčiavimo ir kenkėjiškų „driver-by“ atakų, skaičių. Jei užpuolikai gali pažeisti SSL/TLS standarto kriptografiją, trumpalaikiai sertifikatai užtikrins, kad žmonės maždaug per metus pereis prie saugesnių sertifikatų.
Sertifikatų galiojimo termino sutrumpinimas turi tam tikrų trūkumų. Pastebėta, kad „Apple“ ir kitos įmonės, didindamos sertifikatų keitimo dažnumą, šiek tiek apsunkina ir svetainių savininkų bei įmonių, kurios privalo tvarkyti sertifikatus ir atitiktį, gyvenimą.
Kita vertus, Let's Encrypt ir kitos sertifikatų institucijos skatina žiniatinklio valdytojus įdiegti automatizuotas sertifikatų atnaujinimo procedūras. Tai sumažina žmogiškąsias išlaidas ir klaidų riziką, nes didėja sertifikatų keitimo dažnis.
Kaip žinote, Let's Encrypt išduoda nemokamus HTTPS sertifikatus, kurių galiojimas baigiasi po 90 dienų, ir suteikia įrankius, skirtus automatizuoti atnaujinimą. Taigi dabar šie sertifikatai dar geriau dera į bendrą infrastruktūrą, nes naršyklės nustato maksimalius galiojimo apribojimus.
Dėl šio pakeitimo CA / naršyklės forumo nariai balsavo, tačiau sprendimas .
rezultatai
Sertifikato išdavėjo balsavimas
Už (11 balsų): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anksčiau Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Prieš (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure Trustwave)
Susilaikė (2): HARICA, TurkTrust
Sertifikatų vartotojų balsavimas
Už (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Prieš: 0
Susilaikė: 0
Dabar naršyklės įgyvendina šią politiką be sertifikatų institucijų sutikimo.
Šaltinis: www.habr.com