Zhvilluesit e projektit Chromium , i cili përcakton jetëgjatësinë maksimale të certifikatave TLS në 398 ditë (13 muaj).
Kushti zbatohet për të gjitha certifikatat e serverit publik të lëshuar pas 1 shtatorit 2020. Nëse certifikata nuk përputhet me këtë rregull, shfletuesi do ta refuzojë atë si të pavlefshëm dhe do të përgjigjet në mënyrë specifike me një gabim ERR_CERT_VALIDITY_TOO_LONG.
Për certifikatat e marra përpara datës 1 shtator 2020, besimi do të ruhet dhe (2,2 vjet), si sot.
Më parë, zhvilluesit e shfletuesve Firefox dhe Safari prezantuan kufizime në jetëgjatësinë maksimale të certifikatave. Ndrysho edhe ti .
Kjo do të thotë që faqet e internetit që përdorin certifikata SSL/TLS me jetëgjatësi të lëshuara pas pikës së ndërprerjes do të hedhin gabime të privatësisë në shfletues.
Apple ishte i pari që njoftoi politikën e re në një takim të forumit CA/Browser . Kur prezantoi rregullin e ri, Apple premtoi ta zbatojë atë në të gjitha pajisjet iOS dhe macOS. Kjo do të ushtrojë presion mbi administratorët dhe zhvilluesit e faqeve të internetit për të siguruar që certifikatat e tyre janë në përputhje.
Shkurtimi i jetëgjatësisë së certifikatave është diskutuar me muaj nga Apple, Google dhe anëtarë të tjerë të CA/Browser. Kjo politikë ka avantazhet dhe disavantazhet e saj.
Qëllimi i kësaj lëvizjeje është të përmirësojë sigurinë e uebsajtit duke siguruar që zhvilluesit të përdorin certifikatat me standardet më të fundit kriptografike dhe të reduktojnë numrin e certifikatave të vjetra, të harruara që mund të vidhen dhe ripërdoren në phishing dhe sulme me qëllim të keq. Nëse sulmuesit mund të thyejnë kriptografinë në standardin SSL/TLS, certifikatat jetëshkurtra do të sigurojnë që njerëzit të kalojnë në certifikata më të sigurta brenda rreth një viti.
Shkurtimi i periudhës së vlefshmërisë së certifikatave ka disa disavantazhe. Është vënë re se duke rritur frekuencën e zëvendësimeve të certifikatave, Apple dhe kompanitë e tjera po e bëjnë gjithashtu jetën pak më të vështirë për pronarët e faqeve dhe kompanitë që duhet të menaxhojnë certifikatat dhe pajtueshmërinë.
Nga ana tjetër, Let's Encrypt dhe autoritetet e tjera të certifikatave inkurajojnë webmasterët të zbatojnë procedura të automatizuara për përditësimin e certifikatave. Kjo zvogëlon shpenzimet e përgjithshme njerëzore dhe rrezikun e gabimeve ndërsa rritet shpeshtësia e zëvendësimit të certifikatës.
Siç e dini, Let's Encrypt lëshon certifikata falas HTTPS që skadojnë pas 90 ditësh dhe ofron mjete për të automatizuar rinovimin. Kështu që tani këto certifikata përshtaten edhe më mirë në infrastrukturën e përgjithshme pasi shfletuesit vendosin kufijtë maksimalë të vlefshmërisë.
Ky ndryshim u hodh në votim nga anëtarët e Forumit CA/Browser, por vendimi .
Gjetjet
Votimi i lëshuesit të certifikatës
Për (11 vota): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ish Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Kundër (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Zgjidhjet e Rrjetit, OATI, SECOM, SwissSign, TWCATrust, Secure, TWCA, Trustwave)
Abstenoi (2): HARICA, TurkTrust
Certifikata e votimit të konsumatorëve
Për (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
kundër: 0
Abstenoi: 0
Shfletuesit tani e zbatojnë këtë politikë pa pëlqimin e autoriteteve të certifikimit.
Burimi: www.habr.com