Chromium projekta izstrādātāji , kas nosaka maksimālo TLS sertifikātu darbības laiku 398 dienas (13 mēneši).
Nosacījums attiecas uz visiem publisko serveru sertifikātiem, kas izdoti pēc 1. gada 2020. septembra. Ja sertifikāts neatbilst šim noteikumam, pārlūkprogramma to noraidīs kā nederīgu un atbildēs ar kļūdu ERR_CERT_VALIDITY_TOO_LONG.
Sertifikātiem, kas saņemti līdz 1. gada 2020. septembrim, tiks saglabāta uzticība un (2,2 gadi), tāpat kā šodien.
Iepriekš Firefox un Safari pārlūkprogrammu izstrādātāji ieviesa ierobežojumus attiecībā uz sertifikātu maksimālo kalpošanas laiku. Mainies arī .
Tas nozīmē, ka tīmekļa vietnes, kurās tiek izmantoti ilgstošas darbības SSL/TLS sertifikāti, kas izsniegti pēc robežpunkta, pārlūkprogrammās radīs konfidencialitātes kļūdas.
Apple bija pirmais, kas paziņoja par jauno politiku CA/Browser foruma sanāksmē . Ieviešot jauno noteikumu, Apple solīja to piemērot visām iOS un macOS ierīcēm. Tas radīs spiedienu uz vietņu administratoriem un izstrādātājiem, lai nodrošinātu viņu sertifikātu atbilstību.
Par sertifikātu derīguma termiņa saīsināšanu Apple, Google un citi CA/Browser dalībnieki runājuši mēnešiem ilgi. Šai politikai ir savas priekšrocības un trūkumi.
Šīs darbības mērķis ir uzlabot vietņu drošību, nodrošinot, ka izstrādātāji izmanto sertifikātus ar jaunākajiem kriptogrāfijas standartiem, un samazināt veco, aizmirsto sertifikātu skaitu, kas, iespējams, var tikt nozagti un atkārtoti izmantoti pikšķerēšanas un ļaunprātīgos piedziņas uzbrukumos. Ja uzbrucēji var pārkāpt SSL/TLS standarta kriptogrāfiju, īslaicīgi sertifikāti nodrošinās, ka cilvēki aptuveni gada laikā pāriet uz drošākiem sertifikātiem.
Sertifikātu derīguma termiņa saīsināšanai ir daži trūkumi. Ir atzīmēts, ka, palielinot sertifikātu nomaiņas biežumu, Apple un citi uzņēmumi arī nedaudz apgrūtina dzīvi vietņu īpašniekiem un uzņēmumiem, kuriem jāpārvalda sertifikāti un atbilstība.
No otras puses, Let's Encrypt un citas sertifikācijas iestādes mudina tīmekļa pārziņiem ieviest automatizētas procedūras sertifikātu atjaunināšanai. Tas samazina cilvēku pieskaitāmās izmaksas un kļūdu risku, jo palielinās sertifikātu nomaiņas biežums.
Kā zināms, Let's Encrypt izsniedz bezmaksas HTTPS sertifikātus, kuru derīguma termiņš beidzas pēc 90 dienām, un nodrošina rīkus atjaunošanas automatizēšanai. Tagad šie sertifikāti vēl labāk iekļaujas kopējā infrastruktūrā, jo pārlūkprogrammas nosaka maksimālos derīguma ierobežojumus.
Par šīm izmaiņām CA/Browser foruma dalībnieki balsoja, taču lēmums tika pieņemts .
rezultātus
Sertifikāta izdevēja balsošana
Par (11 balsis): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (agrāk Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Pret (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure Trustwave)
Atturējās (2): HARICA, TurkTrust
Sertifikātu patērētāju balsošana
Par (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Pret: 0
Atturējās: 0
Tagad pārlūkprogrammas ievieš šo politiku bez sertifikācijas iestāžu piekrišanas.
Avots: www.habr.com