Vývojári projektu Chromium , ktorý stanovuje maximálnu životnosť TLS certifikátov na 398 dní (13 mesiacov).
Podmienka sa vzťahuje na všetky certifikáty verejného servera vydané po 1. septembri 2020. Ak certifikát nespĺňa toto pravidlo, prehliadač ho odmietne ako neplatný a konkrétne odpovie chybou ERR_CERT_VALIDITY_TOO_LONG.
Pre certifikáty prijaté pred 1. septembrom 2020 bude dôvera zachovaná a (2,2 roka), ako dnes.
Predtým vývojári prehliadačov Firefox a Safari zaviedli obmedzenia maximálnej životnosti certifikátov. Zmeňte sa tiež .
To znamená, že webové stránky používajúce certifikáty SSL/TLS s dlhou životnosťou vydané po hraničnom bode spôsobia v prehliadačoch chyby ochrany osobných údajov.
Apple ako prvý oznámil novú politiku na stretnutí fóra CA/Browser . Apple pri predstavení nového pravidla sľúbil, že ho bude aplikovať na všetky iOS a macOS zariadenia. To bude vyvíjať tlak na správcov webových stránok a vývojárov, aby sa uistili, že ich certifikácie sú v súlade.
O skrátení životnosti certifikátov už mesiace diskutovali Apple, Google a ďalší členovia CA/Browser. Táto politika má svoje výhody aj nevýhody.
Cieľom tohto kroku je zlepšiť bezpečnosť webových stránok tým, že vývojári budú používať certifikáty s najnovšími kryptografickými štandardmi a znížiť počet starých, zabudnutých certifikátov, ktoré by mohli byť potenciálne odcudzené a opätovne použité pri phishingu a škodlivých útokoch typu drive-by. Ak sa útočníkom podarí prelomiť kryptografiu v štandarde SSL/TLS, certifikáty s krátkou životnosťou zabezpečia, že ľudia prejdú na bezpečnejšie certifikáty približne o rok.
Skrátenie doby platnosti certifikátov má určité nevýhody. Bolo poznamenané, že zvýšením frekvencie výmeny certifikátov Apple a ďalšie spoločnosti tiež trochu sťažujú život majiteľom stránok a spoločnostiam, ktoré musia spravovať certifikáty a súlad.
Na druhej strane, Let's Encrypt a ďalšie certifikačné autority nabádajú správcov webu, aby implementovali automatizované postupy na aktualizáciu certifikátov. To znižuje ľudskú réžiu a riziko chýb, pretože frekvencia výmeny certifikátov sa zvyšuje.
Ako viete, Let's Encrypt vydáva bezplatné certifikáty HTTPS, ktorých platnosť vyprší po 90 dňoch, a poskytuje nástroje na automatizáciu obnovy. Takže teraz tieto certifikáty ešte lepšie zapadajú do celkovej infraštruktúry, pretože prehliadače stanovujú maximálne limity platnosti.
Táto zmena bola predložená na hlasovanie členov CA/Browser Forum, ale rozhodnutie .
výsledky
Hlasovanie vydavateľa certifikátu
Pre (11 hlasov): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (predtým Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (predtým Trustwave)
Zdržali sa (2): HARICA, TurkTrust
Hlasovanie spotrebiteľov certifikátov
Pre (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Proti: 0
Zdržal sa hlasovania: 0
Prehliadače teraz presadzujú túto politiku bez súhlasu certifikačných autorít.
Zdroj: hab.com