Ontwikkelaars van het Chromium-project , waarmee de maximale levensduur van TLS-certificaten wordt ingesteld op 398 dagen (13 maanden).
De voorwaarde geldt voor alle publieke servercertificaten uitgegeven na 1 september 2020. Als het certificaat niet aan deze regel voldoet, zal de browser het als ongeldig afwijzen en specifiek met een foutmelding reageren ERR_CERT_VALIDITY_TOO_LONG.
Voor certificaten ontvangen vΓ³Γ³r 1 september 2020 blijft het vertrouwen behouden (2,2 jaar), zoals vandaag.
Eerder voerden de ontwikkelaars van de browsers Firefox en Safari restricties in op de maximale levensduur van certificaten. Verander ook .
Dit betekent dat websites die SSL/TLS-certificaten met een lange levensduur gebruiken die na het afsluitpunt zijn uitgegeven, privacyfouten in browsers veroorzaken.
Apple was de eerste die het nieuwe beleid aankondigde tijdens een bijeenkomst van het CA/Browser-forum . Bij de introductie van de nieuwe regel beloofde Apple deze op alle iOS- en macOS-apparaten toe te passen. Dit zal druk uitoefenen op websitebeheerders en ontwikkelaars om ervoor te zorgen dat hun certificeringen hieraan voldoen.
Het verkorten van de levensduur van certificaten wordt al maanden besproken door Apple, Google en andere CA/Browser-leden. Dit beleid heeft zijn voor- en nadelen.
Het doel van deze stap is om de websitebeveiliging te verbeteren door ervoor te zorgen dat ontwikkelaars certificaten gebruiken die voldoen aan de nieuwste cryptografische standaarden, en om het aantal oude, vergeten certificaten te verminderen die mogelijk kunnen worden gestolen en hergebruikt bij phishing en kwaadaardige drive-by-aanvallen. Als aanvallers de cryptografie in de SSL/TLS-standaard kunnen doorbreken, zullen kortstondige certificaten ervoor zorgen dat mensen binnen ongeveer een jaar overstappen op veiligere certificaten.
Het verkorten van de geldigheidsduur van certificaten heeft enkele nadelen. Er is opgemerkt dat door het verhogen van de frequentie van certificaatvervangingen, Apple en andere bedrijven het leven ook een beetje moeilijker maken voor site-eigenaren en bedrijven die certificaten en compliance moeten beheren.
Aan de andere kant moedigen Let's Encrypt en andere certificeringsinstanties webmasters aan om geautomatiseerde procedures te implementeren voor het bijwerken van certificaten. Dit vermindert de menselijke overhead en het risico op fouten naarmate de frequentie van certificaatvervanging toeneemt.
Zoals u weet geeft Let's Encrypt gratis HTTPS-certificaten uit die na 90 dagen verlopen en biedt het tools om de verlenging te automatiseren. Deze certificaten passen nu dus nog beter in de algehele infrastructuur, omdat browsers maximale geldigheidslimieten instellen.
Deze wijziging werd ter stemming gebracht door leden van het CA/Browser Forum, maar de beslissing werd genomen .
Bevindingen
Stemming door certificaatuitgever
Voor (11 stemmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (voorheen Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Tegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (voormalig Trustwave)
Onthouding (2): HARICA, TurkTrust
Certificaat consumenten stemmen
Voor (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Tegen: 0
Onthielden zich: 0
Browsers handhaven dit beleid nu zonder toestemming van certificeringsinstanties.
Bron: www.habr.com