Utviklere av Chromium-prosjektet , som setter maksimal levetid for TLS-sertifikater til 398 dager (13 måneder).
Betingelsen gjelder for alle offentlige serversertifikater utstedt etter 1. september 2020. Hvis sertifikatet ikke samsvarer med denne regelen, vil nettleseren avvise det som ugyldig og spesifikt svare med en feil ERR_CERT_VALIDITY_TOO_LONG.
For sertifikater mottatt før 1. september 2020 vil tillit opprettholdes og (2,2 år), som i dag.
Tidligere har utviklerne av nettleserne Firefox og Safari innført begrensninger på maksimal levetid for sertifikater. Bytt også .
Dette betyr at nettsteder som bruker langtidsholdbare SSL/TLS-sertifikater utstedt etter cutoff-punktet, vil kaste personvernfeil i nettlesere.
Apple var den første som kunngjorde den nye policyen på et møte i CA/Browser-forumet . Da den nye regelen ble introdusert, lovet Apple å bruke den på alle iOS- og macOS-enheter. Dette vil legge press på nettstedadministratorer og utviklere for å sikre at deres sertifiseringer er kompatible.
Å forkorte levetiden til sertifikater har vært diskutert i flere måneder av Apple, Google og andre CA/Browser-medlemmer. Denne politikken har sine fordeler og ulemper.
Målet med dette trekket er å forbedre nettstedsikkerheten ved å sikre at utviklere bruker sertifikater med de nyeste kryptografiske standardene, og å redusere antallet gamle, glemte sertifikater som potensielt kan bli stjålet og gjenbrukt i phishing og ondsinnede drive-by-angrep. Hvis angripere kan bryte kryptografien i SSL/TLS-standarden, vil kortlivede sertifikater sørge for at folk bytter til sikrere sertifikater i løpet av omtrent et år.
Å forkorte sertifikatets gyldighetsperiode har noen ulemper. Det har blitt lagt merke til at ved å øke frekvensen av sertifikatutskiftninger, gjør Apple og andre selskaper også livet litt vanskeligere for nettstedseiere og selskaper som må administrere sertifikater og samsvar.
På den annen side oppfordrer Let's Encrypt og andre sertifikatmyndigheter webmastere til å implementere automatiserte prosedyrer for oppdatering av sertifikater. Dette reduserer menneskelig overhead og risikoen for feil ettersom hyppigheten av sertifikatutskifting øker.
Som du vet, utsteder Let's Encrypt gratis HTTPS-sertifikater som utløper etter 90 dager og gir verktøy for å automatisere fornyelse. Så nå passer disse sertifikatene enda bedre inn i den generelle infrastrukturen ettersom nettlesere setter maksimale gyldighetsgrenser.
Denne endringen ble satt til avstemning av medlemmer av CA/Browser Forum, men avgjørelsen .
Funn
Stemmegivning for sertifikatutsteder
For (11 stemmer): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidligere Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mot (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidligere Trustwave)
Avsto (2): HARICA, TurkTrust
Sertifikat forbrukere stemme
For (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Mot: 0
Avsto: 0
Nettlesere håndhever nå denne policyen uten samtykke fra sertifiseringsmyndighetene.
Kilde: www.habr.com