Vývojári projektu Chromium
Podmienka sa vzťahuje na všetky certifikáty verejného servera vydané po 1. septembri 2020. Ak certifikát nespĺňa toto pravidlo, prehliadač ho odmietne ako neplatný a konkrétne odpovie chybou ERR_CERT_VALIDITY_TOO_LONG
.
Pre certifikáty prijaté pred 1. septembrom 2020 bude dôvera zachovaná a
Predtým vývojári prehliadačov Firefox a Safari zaviedli obmedzenia maximálnej životnosti certifikátov. Zmeňte sa tiež
To znamená, že webové stránky používajúce certifikáty SSL/TLS s dlhou životnosťou vydané po hraničnom bode spôsobia v prehliadačoch chyby ochrany osobných údajov.
Apple ako prvý oznámil novú politiku na stretnutí fóra CA/Browser
O skrátení životnosti certifikátov už mesiace diskutovali Apple, Google a ďalší členovia CA/Browser. Táto politika má svoje výhody aj nevýhody.
Cieľom tohto kroku je zlepšiť bezpečnosť webových stránok tým, že vývojári budú používať certifikáty s najnovšími kryptografickými štandardmi a znížiť počet starých, zabudnutých certifikátov, ktoré by mohli byť potenciálne odcudzené a opätovne použité pri phishingu a škodlivých útokoch typu drive-by. Ak sa útočníkom podarí prelomiť kryptografiu v štandarde SSL/TLS, certifikáty s krátkou životnosťou zabezpečia, že ľudia prejdú na bezpečnejšie certifikáty približne o rok.
Skrátenie doby platnosti certifikátov má určité nevýhody. Bolo poznamenané, že zvýšením frekvencie výmeny certifikátov Apple a ďalšie spoločnosti tiež trochu sťažujú život majiteľom stránok a spoločnostiam, ktoré musia spravovať certifikáty a súlad.
Na druhej strane, Let's Encrypt a ďalšie certifikačné autority nabádajú správcov webu, aby implementovali automatizované postupy na aktualizáciu certifikátov. To znižuje ľudskú réžiu a riziko chýb, pretože frekvencia výmeny certifikátov sa zvyšuje.
Ako viete, Let's Encrypt vydáva bezplatné certifikáty HTTPS, ktorých platnosť vyprší po 90 dňoch, a poskytuje nástroje na automatizáciu obnovy. Takže teraz tieto certifikáty ešte lepšie zapadajú do celkovej infraštruktúry, pretože prehliadače stanovujú maximálne limity platnosti.
Táto zmena bola predložená na hlasovanie členov CA/Browser Forum, ale rozhodnutie
výsledky
Hlasovanie vydavateľa certifikátu
Pre (11 hlasov): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (predtým Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (predtým Trustwave)
Zdržali sa (2): HARICA, TurkTrust
Hlasovanie spotrebiteľov certifikátov
Pre (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Proti: 0
Zdržal sa hlasovania: 0
Prehliadače teraz presadzujú túto politiku bez súhlasu certifikačných autorít.
Zdroj: hab.com