Chromium төслийн хөгжүүлэгчид , энэ нь TLS сертификатын ашиглалтын дээд хугацааг 398 хоног (13 сар) болгон тохируулдаг.
Энэ нөхцөл нь 1 оны 2020-р сарын XNUMX-ээс хойш олгосон бүх нийтийн серверийн гэрчилгээнд хамаарна. Хэрэв гэрчилгээ нь энэ дүрэмд тохирохгүй бол хөтөч үүнийг хүчингүй гэж үзэхээс татгалзаж, алдаатай хариу өгөх болно ERR_CERT_VALIDITY_TOO_LONG.
1 оны 2020-р сарын XNUMX-ээс өмнө хүлээн авсан гэрчилгээний хувьд итгэлцэл хадгалагдах болно (2,2 жил), өнөөдрийнх шиг.
Өмнө нь Firefox болон Safari хөтчүүдийг хөгжүүлэгчид гэрчилгээний ашиглалтын дээд хугацааг хязгаарлаж байсан. Бас өөрчил .
Энэ нь таслагдах цэгийн дараа олгосон урт хугацааны SSL/TLS сертификатыг ашигладаг вэбсайтууд хөтчүүдэд нууцлалын алдаа гаргах болно гэсэн үг юм.
Apple компани CA/Browser форумын хурал дээр шинэ бодлогыг анхлан зарлав . Шинэ дүрмийг нэвтрүүлэхдээ Apple үүнийг бүх iOS болон macOS төхөөрөмжид хэрэглэнэ гэж амласан. Энэ нь вэбсайтын администраторууд болон хөгжүүлэгчдэд тэдний гэрчилгээг нийцүүлэхийн тулд дарамт шахалт үзүүлэх болно.
Сертификатуудын ашиглалтын хугацааг богиносгох талаар Apple, Google болон бусад CA/Browser-ын гишүүд хэдэн сарын турш хэлэлцсэн. Энэ бодлого нь давуу болон сул талуудтай.
Энэхүү алхамын зорилго нь хөгжүүлэгчид хамгийн сүүлийн үеийн криптографийн стандарт бүхий гэрчилгээг ашиглах замаар вэб сайтын аюулгүй байдлыг сайжруулах, мөн хулгайд алдах, фишинг болон хорлонтой drive-by халдлагад дахин ашиглагдах боломжтой хуучин, мартагдсан гэрчилгээнүүдийн тоог багасгахад оршино. Хэрэв халдагчид SSL/TLS стандартын криптографийг эвдэж чадвал богино хугацааны гэрчилгээ нь хүмүүсийг нэг жилийн дараа илүү найдвартай гэрчилгээ рүү шилжүүлэх боломжийг олгоно.
Гэрчилгээний хүчинтэй байх хугацааг богиносгох нь зарим сул талуудтай. Сертификат солих давтамжийг нэмэгдүүлснээр Apple болон бусад компаниуд гэрчилгээ, нийцлийг удирдах ёстой сайтын эзэд болон компаниудын амьдралыг бага зэрэг хүндрүүлж байгааг тэмдэглэжээ.
Нөгөөтэйгүүр, Let's Encrypt болон бусад гэрчилгээний байгууллагууд вэбмастеруудыг гэрчилгээг шинэчлэх автомат горимыг хэрэгжүүлэхийг дэмждэг. Энэ нь гэрчилгээ солих давтамж нэмэгдэхийн хэрээр хүний нэмэлт зардал, алдаа гарах эрсдэлийг бууруулдаг.
Let's Encrypt нь 90 хоногийн дараа хугацаа нь дуусах HTTPS сертификатуудыг үнэгүй гаргаж, сунгалтыг автоматжуулах хэрэгслүүдээр хангадаг гэдгийг та мэдэж байгаа. Хөтөчүүд хүчинтэй байх дээд хязгаарыг тогтоодог тул одоо эдгээр гэрчилгээ нь ерөнхий дэд бүтцэд илүү сайн нийцэж байна.
Энэ өөрчлөлтийг CA/Browser форумын гишүүд санал хураалтад оруулсан боловч шийдвэр .
Результаты
Гэрчилгээ гаргагчийн санал хураалт
(11 санал): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (өмнө нь Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Эсрэг (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure (Secure) Trustwave)
Түдгэлзсэн (2): HARICA, TurkTrust
Сертификат хэрэглэгчдийн санал өгөх
(7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Дахин эсрэг: 0
Түдгэлзсэн: 0
Хөтөчүүд одоо сертификатын эрх бүхий байгууллагын зөвшөөрөлгүйгээр энэ бодлогыг хэрэгжүүлж байна.
Эх сурвалж: www.habr.com