Razvijalci projekta Chromium , ki določa najdaljšo življenjsko dobo certifikatov TLS na 398 dni (13 mesecev).
Pogoj velja za vsa potrdila javnega strežnika, izdana po 1. Če se potrdilo ne ujema s tem pravilom, ga bo brskalnik zavrnil kot neveljavno in se posebej odzval z napako ERR_CERT_VALIDITY_TOO_LONG.
Za potrdila, prejeta pred 1. septembrom 2020, se bo ohranilo zaupanje in (2,2 leti), kot danes.
Pred tem so razvijalci brskalnikov Firefox in Safari uvedli omejitve glede najdaljše življenjske dobe potrdil. Spremeni se tudi .
To pomeni, da bodo spletna mesta, ki uporabljajo dolgotrajna potrdila SSL/TLS, izdana po presečni točki, v brskalnikih povzročala napake glede zasebnosti.
Apple je prvi objavil novo politiko na sestanku foruma CA/Browser . Apple je ob uvedbi novega pravila obljubil, da ga bo uporabil za vse naprave iOS in macOS. To bo povzročilo pritisk na skrbnike spletnih mest in razvijalce, da zagotovijo, da so njihovi certifikati skladni.
Apple, Google in drugi člani CA/brskalnika že mesece razpravljajo o skrajšanju življenjske dobe certifikatov. Ta politika ima svoje prednosti in slabosti.
Cilj te poteze je izboljšati varnost spletnega mesta z zagotavljanjem, da razvijalci uporabljajo potrdila z najnovejšimi kriptografskimi standardi, in zmanjšati število starih, pozabljenih potrdil, ki bi jih lahko morda ukradli in ponovno uporabili pri lažnem predstavljanju in zlonamernih napadih s pogonom. Če lahko napadalci zlomijo kriptografijo v standardu SSL/TLS, bodo kratkotrajna potrdila zagotovila, da bodo ljudje v približno enem letu prešli na varnejša potrdila.
Skrajšanje roka veljavnosti certifikatov ima nekaj slabosti. Ugotovljeno je bilo, da Apple in druga podjetja s povečanjem pogostosti zamenjav certifikatov nekoliko otežujejo življenje lastnikom spletnih mest in podjetjem, ki morajo upravljati s certifikati in skladnostjo.
Po drugi strani pa Let's Encrypt in drugi certifikatni organi spodbujajo spletne skrbnike k uvedbi avtomatiziranih postopkov za posodabljanje certifikatov. To zmanjša človeško obremenitev in tveganje za napake, ko se poveča pogostost zamenjave potrdil.
Kot veste, Let's Encrypt izdaja brezplačna potrdila HTTPS, ki potečejo po 90 dneh, in ponuja orodja za avtomatsko obnovo. Zdaj se ti certifikati še bolje prilegajo celotni infrastrukturi, saj brskalniki določajo največje omejitve veljavnosti.
O tej spremembi so glasovali člani CA/Browser Forum, vendar odločitev .
Ugotovitve
Glasovanje izdajatelja potrdila
Za (11 glasov): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (prej Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (prej Trustwave)
Vzdržani (2): HARICA, TurkTrust
Glasovanje potrošnikov potrdila
Za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Ob: 0
Vzdržan: 0
Brskalniki zdaj uveljavljajo to politiko brez soglasja overiteljev potrdil.
Vir: www.habr.com