Pembangun projek Chromium , yang menetapkan jangka hayat maksimum sijil TLS kepada 398 hari (13 bulan).
Syarat tersebut terpakai kepada semua sijil pelayan awam yang dikeluarkan selepas 1 September 2020. Jika sijil tidak sepadan dengan peraturan ini, penyemak imbas akan menolaknya sebagai tidak sah dan secara khusus membalas dengan ralat ERR_CERT_VALIDITY_TOO_LONG.
Untuk sijil yang diterima sebelum 1 September 2020, amanah akan dikekalkan dan (2,2 tahun), seperti hari ini.
Sebelum ini, pembangun pelayar Firefox dan Safari memperkenalkan sekatan ke atas jangka hayat maksimum sijil. Berubah juga .
Ini bermakna tapak web yang menggunakan sijil SSL/TLS jangka panjang yang dikeluarkan selepas titik potong akan menimbulkan ralat privasi dalam penyemak imbas.
Apple adalah yang pertama mengumumkan dasar baharu pada mesyuarat forum CA/Pelayar . Apabila memperkenalkan peraturan baharu itu, Apple berjanji untuk menerapkannya pada semua peranti iOS dan macOS. Ini akan memberi tekanan kepada pentadbir laman web dan pembangun untuk memastikan pensijilan mereka mematuhi.
Memendekkan jangka hayat sijil telah dibincangkan selama berbulan-bulan oleh Apple, Google dan ahli CA/Penyemak imbas yang lain. Dasar ini ada kelebihan dan kekurangannya.
Matlamat langkah ini adalah untuk meningkatkan keselamatan tapak web dengan memastikan bahawa pembangun menggunakan sijil dengan piawaian kriptografi terkini, dan untuk mengurangkan bilangan sijil lama yang terlupa yang berpotensi dicuri dan digunakan semula dalam pancingan data dan serangan drive-by berniat jahat. Jika penyerang boleh memecahkan kriptografi dalam standard SSL/TLS, sijil jangka pendek akan memastikan orang beralih kepada sijil yang lebih selamat dalam masa lebih kurang setahun.
Memendekkan tempoh sah sijil mempunyai beberapa kelemahan. Telah diperhatikan bahawa dengan meningkatkan kekerapan penggantian sijil, Apple dan syarikat lain juga menjadikan kehidupan lebih sukar bagi pemilik tapak dan syarikat yang mesti menguruskan sijil dan pematuhan.
Sebaliknya, Let's Encrypt dan pihak berkuasa sijil lain menggalakkan juruweb melaksanakan prosedur automatik untuk mengemas kini sijil. Ini mengurangkan overhed manusia dan risiko ralat apabila kekerapan penggantian sijil meningkat.
Seperti yang anda ketahui, Let's Encrypt mengeluarkan sijil HTTPS percuma yang tamat tempoh selepas 90 hari dan menyediakan alatan untuk mengautomasikan pembaharuan. Jadi kini sijil ini lebih sesuai dengan infrastruktur keseluruhan kerana penyemak imbas menetapkan had kesahihan maksimum.
Perubahan ini telah diundi oleh ahli Forum CA/Pelayar, tetapi keputusannya .
Penemuan
Undian Pengeluar Sijil
Untuk (11 undi): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dahulu Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Terhadap (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (bekas Trustwave)
Berpantang (2): HARICA, TurkTrust
Sijil pengguna mengundi
Untuk (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Terhadap: 0
berpantang: 0
Penyemak imbas kini menguatkuasakan dasar ini tanpa kebenaran pihak berkuasa sijil.
Sumber: www.habr.com