Програмери Цхромиум пројекта , који поставља максимални век трајања ТЛС сертификата на 398 дана (13 месеци).
Услов се односи на све сертификате јавног сервера издате после 1. септембра 2020. Ако се сертификат не подудара са овим правилом, прегледач ће га одбити као неважећи и конкретно одговорити са грешком ERR_CERT_VALIDITY_TOO_LONG.
За сертификате добијене пре 1. септембра 2020. одржаће се поверење и (2,2 године), као и данас.
Раније су програмери претраживача Фирефок и Сафари увели ограничења максималног века трајања сертификата. Промени такође .
То значи да ће веб локације које користе дуготрајне ССЛ/ТЛС сертификате издате након граничне тачке избацити грешке у приватности у прегледачима.
Аппле је први објавио нову политику на састанку ЦА/Бровсер форума . Приликом представљања новог правила, Аппле је обећао да ће га применити на све иОС и мацОС уређаје. Ово ће извршити притисак на администраторе веб локација и програмере да осигурају да су њихови сертификати усаглашени.
Аппле, Гоогле и други чланови ЦА/Бровсер-а већ месецима расправљају о скраћивању животног века сертификата. Ова политика има своје предности и мане.
Циљ овог потеза је да се побољша безбедност веб локације тако што ће се обезбедити да програмери користе сертификате са најновијим криптографским стандардима и да се смањи број старих, заборављених сертификата који би потенцијално могли бити украдени и поново употребљени у пхисхинг и злонамерним нападима. Ако нападачи могу да разбију криптографију у ССЛ/ТЛС стандарду, краткотрајни сертификати ће обезбедити да људи пређу на безбедније сертификате за отприлике годину дана.
Скраћивање рока важења сертификата има неке недостатке. Примећено је да повећањем учесталости замене сертификата, Аппле и друге компаније такође мало отежавају живот власницима сајтова и компанијама које морају да управљају сертификатима и усклађеношћу.
С друге стране, Лет'с Енцрипт и други ауторитети за сертификате подстичу вебмастере да имплементирају аутоматизоване процедуре за ажурирање сертификата. Ово смањује људске трошкове и ризик од грешака како се учесталост замене сертификата повећава.
Као што знате, Лет'с Енцрипт издаје бесплатне ХТТПС сертификате који истичу након 90 дана и пружа алате за аутоматизацију обнављања. Дакле, сада се ови сертификати још боље уклапају у целокупну инфраструктуру пошто прегледачи постављају максималне границе ваљаности.
Ова промена је стављена на гласање од стране чланова ЦА/Бровсер Форума, али одлука .
Налази
Гласање издаваоца сертификата
За (11 гласова): Амазон, Буипасс, Цертигна (ДХИМИОТИС), цертСИГН, Сецтиго (раније Цомодо ЦА), еМудхра, Каму СМ, Лет'с Енцрипт, Логиус, ПКИоверхеид, СХЕЦА, ССЛ.цом
Против (20): Цамерфирма, Цертум (Ассецо), ЦФЦА, Цхунгхва Телецом, Цомсигн, Д-ТРУСТ, ДаркМаттер, Ентруст Датацард, Фирмапрофесионал, ГДЦА, ГлобалСигн, ГоДадди, Изенпе, Нетворк Солутионс, ОАТИ, СЕЦОМ, СвиссСигн, ТВЦА, ТрустЦор, СецуреТруст ( Трустваве)
уздржани (2): ХАРИЦА, ТуркТруст
Гласање потрошача сертификата
за (7): Аппле, Цисцо, Гоогле, Мицрософт, Мозилла, Опера, 360
Против: КСНУМКС
Уздржани: КСНУМКС
Прегледачи сада примењују ову политику без сагласности органа за сертификацију.
Извор: ввв.хабр.цом