Програмери на проектот Chromium направи промена, што го поставува максималниот век на траење на TLS сертификатите на 398 дена (13 месеци).

Условот се однесува на сите сертификати за јавни сервери издадени по 1 септември 2020 година. Ако сертификатот не се совпаѓа со ова правило, прелистувачот ќе го одбие како неважечки и конкретно ќе одговори со грешка ERR_CERT_VALIDITY_TOO_LONG.

За сертификатите добиени пред 1 септември 2020 година, довербата ќе се задржи и ограничен на 825 дена (2,2 години), како денес.

Претходно, развивачите на прелистувачите Firefox и Safari воведоа ограничувања за максималниот животен век на сертификатите. Промени исто така стапува на сила на 1 септември.

Ова значи дека веб-локациите што користат долгорочни SSL/TLS сертификати издадени по крајната точка ќе исфрлат грешки за приватност во прелистувачите.

Apple беше првиот што ја објави новата политика на состанокот на форумот CA/Browser во февруари 2020 година. При воведувањето на новото правило, Apple вети дека ќе го примени на сите iOS и macOS уреди. Ова ќе изврши притисок врз администраторите и програмерите на веб-локациите да се осигураат дека нивните сертификати се усогласени.

За скратувањето на животниот век на сертификатите со месеци се дискутираше Apple, Google и други членови на CA/Browser. Оваа политика има свои предности и недостатоци.

Целта на овој потег е да се подобри безбедноста на веб-страниците со тоа што ќе се осигура дека програмерите користат сертификати со најновите криптографски стандарди и да се намали бројот на стари, заборавени сертификати кои потенцијално би можеле да бидат украдени и повторно искористени во фишинг и злонамерни напади преку возење. Ако напаѓачите можат да ја скршат криптографијата во стандардот SSL/TLS, краткотрајните сертификати ќе обезбедат луѓето да се префрлат на побезбедни сертификати за околу една година.

Скратувањето на периодот на важност на сертификатите има некои недостатоци. Забележано е дека со зголемување на фреквенцијата на замена на сертификати, Apple и другите компании, исто така, го отежнуваат животот на сопствениците на сајтови и компаниите кои мора да управуваат со сертификатите и усогласеноста.

Од друга страна, Let's Encrypt и другите авторитети за сертификати ги охрабруваат веб-администраторите да имплементираат автоматизирани процедури за ажурирање на сертификатите. Ова ги намалува човечките трошоци и ризикот од грешки како што се зголемува фреквенцијата на замена на сертификатот.

Како што знаете, Let's Encrypt издава бесплатни HTTPS сертификати кои истекуваат по 90 дена и обезбедува алатки за автоматизирање на обновувањето. Така, сега овие сертификати се вклопуваат уште подобро во целокупната инфраструктура бидејќи прелистувачите поставуваат максимални ограничувања за валидност.

Оваа промена беше ставена на гласање од членовите на CA/Browser Forum, но одлуката не беше одобрен поради несогласување на органите за сертификација.

Наоди

Гласање на издавачот на сертификат

За (11 гласа): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (порано Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Против (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, мрежни решенија, OATI, SECOM, SwissSign, TWCATrustforme, Trustwave)

Воздржани (2): ХАРИЦА, ТуркТруст

Сертификат гласање на потрошувачите

За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Против: 0

Воздржани: 0

Прелистувачите сега ја спроведуваат оваа политика без согласност од органите за сертификати.

Извор: www.habr.com