Desenvolvedores do projeto Chromium , que define a vida útil máxima dos certificados TLS em 398 dias (13 meses).
A condição se aplica a todos os certificados de servidores públicos emitidos após 1º de setembro de 2020. Se o certificado não corresponder a esta regra, o navegador irá rejeitá-lo como inválido e responderá especificamente com um erro ERR_CERT_VALIDITY_TOO_LONG.
Para certificados recebidos antes de 1º de setembro de 2020, a confiança será mantida e (2,2 anos), como hoje.
Anteriormente, os desenvolvedores dos navegadores Firefox e Safari introduziram restrições à vida útil máxima dos certificados. Mude também .
Isso significa que sites que usam certificados SSL/TLS de longa duração emitidos após o ponto de corte gerarão erros de privacidade nos navegadores.
A Apple foi a primeira a anunciar a nova política em reunião do fórum CA/Browser . Ao apresentar a nova regra, a Apple prometeu aplicá-la a todos os dispositivos iOS e macOS. Isso pressionará os administradores e desenvolvedores de sites para garantir que suas certificações estejam em conformidade.
A redução da vida útil dos certificados tem sido discutida há meses pela Apple, Google e outros membros da CA/Browser. Esta política tem as suas vantagens e desvantagens.
O objetivo desta mudança é melhorar a segurança do site, garantindo que os desenvolvedores usem certificados com os padrões criptográficos mais recentes e reduzir o número de certificados antigos e esquecidos que poderiam ser potencialmente roubados e reutilizados em ataques de phishing e drive-by maliciosos. Se os invasores conseguirem quebrar a criptografia do padrão SSL/TLS, os certificados de curta duração garantirão que as pessoas mudem para certificados mais seguros em cerca de um ano.
A redução do período de validade dos certificados tem algumas desvantagens. Observou-se que, ao aumentar a frequência de substituições de certificados, a Apple e outras empresas também estão dificultando um pouco a vida dos proprietários de sites e das empresas que precisam gerenciar certificados e conformidade.
Por outro lado, Let's Encrypt e outras autoridades certificadoras incentivam os webmasters a implementar procedimentos automatizados para atualização de certificados. Isso reduz a sobrecarga humana e o risco de erros à medida que aumenta a frequência de substituição de certificados.
Como você sabe, Let's Encrypt emite certificados HTTPS gratuitos que expiram após 90 dias e fornece ferramentas para automatizar a renovação. Portanto, agora esses certificados se adaptam ainda melhor à infraestrutura geral, à medida que os navegadores definem limites máximos de validade.
Esta mudança foi colocada em votação pelos membros do CA/Browser Forum, mas a decisão .
Descobertas
Votação do Emissor de Certificado
Para (11 votos): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (antigo Onda de confiança)
Abstenção (2): HARICA, TurkTrust
Votação dos consumidores do certificado
Para (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Против 0
Abstido 0
Os navegadores agora aplicam esta política sem o consentimento das autoridades de certificação.
Fonte: habr.com