Twórcy projektu Chromium
Warunek dotyczy wszystkich certyfikatów serwerów publicznych wydanych po 1 września 2020 roku. Jeśli certyfikat nie spełnia tej reguły, przeglądarka odrzuci go jako nieważny i w szczególności zareaguje błędem ERR_CERT_VALIDITY_TOO_LONG
.
W przypadku certyfikatów otrzymanych przed 1 września 2020 r. zaufanie zostanie utrzymane i
Wcześniej twórcy przeglądarek Firefox i Safari wprowadzili ograniczenia dotyczące maksymalnego czasu życia certyfikatów. Zmień też
Oznacza to, że witryny korzystające z długotrwałych certyfikatów SSL/TLS wydanych po upływie punktu granicznego będą generować błędy dotyczące prywatności w przeglądarkach.
Apple jako pierwszy ogłosił nową politykę na spotkaniu forum CA/Browser
Skrócenie okresu ważności certyfikatów było omawiane od miesięcy przez Apple, Google i innych członków urzędu certyfikacji/przeglądarki. Polityka ta ma swoje zalety i wady.
Celem tego posunięcia jest poprawa bezpieczeństwa witryn internetowych poprzez zapewnienie, że programiści korzystają z certyfikatów zgodnych z najnowszymi standardami kryptograficznymi, a także zmniejszenie liczby starych, zapomnianych certyfikatów, które mogłyby zostać skradzione i ponownie wykorzystane w phishingu i złośliwych atakach typu drive-by. Jeśli atakującym uda się złamać szyfrowanie w standardzie SSL/TLS, certyfikaty krótkotrwałe sprawią, że za około rok ludzie przejdą na bezpieczniejsze certyfikaty.
Skrócenie okresu ważności certyfikatów ma pewne wady. Zauważono, że zwiększając częstotliwość wymiany certyfikatów, Apple i inne firmy również nieco utrudniają życie właścicielom witryn i firmom, które muszą zarządzać certyfikatami i zgodnością.
Z drugiej strony Let's Encrypt i inne urzędy certyfikacji zachęcają webmasterów do wdrażania zautomatyzowanych procedur aktualizacji certyfikatów. Zmniejsza to obciążenie ludzkie i ryzyko błędów w miarę wzrostu częstotliwości wymiany certyfikatów.
Jak wiesz, Let's Encrypt wydaje bezpłatne certyfikaty HTTPS, które wygasają po 90 dniach i udostępnia narzędzia do automatycznego odnawiania. Teraz te certyfikaty jeszcze lepiej pasują do ogólnej infrastruktury, ponieważ przeglądarki ustalają maksymalne limity ważności.
Zmiana ta została poddana pod głosowanie przez członków CA/Browser Forum, ale decyzja została podjęta
wyniki
Głosowanie nad wystawcą certyfikatu
Za (11 głosów): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dawniej Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Przeciw (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dawniej fala zaufania)
Wstrzymało się (2): HARICA, TurkTrust
Certyfikat głosowania konsumentów
Dla (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Przed: 0
Wstrzymało się: 0
Przeglądarki egzekwują teraz tę zasadę bez zgody urzędów certyfikacji.
Źródło: www.habr.com