Utvecklare av Chromium-projektet
Villkoret gäller alla offentliga servercertifikat utfärdade efter 1 september 2020. Om certifikatet inte matchar denna regel kommer webbläsaren att avvisa det som ogiltigt och svara specifikt med ett fel ERR_CERT_VALIDITY_TOO_LONG
.
För certifikat som tagits emot före 1 september 2020 kommer förtroendet att upprätthållas och
Tidigare har utvecklarna av webbläsarna Firefox och Safari infört begränsningar för certifikatens maximala livslängd. Byt också
Detta innebär att webbplatser som använder SSL/TLS-certifikat med lång livslängd som utfärdats efter brytpunkten kommer att skapa sekretessfel i webbläsare.
Apple var först med att tillkännage den nya policyn vid ett möte i CA/Browser-forumet
Att förkorta livslängden för certifikat har diskuterats i månader av Apple, Google och andra CA/Browser-medlemmar. Denna politik har sina fördelar och nackdelar.
Målet med detta drag är att förbättra webbplatsens säkerhet genom att säkerställa att utvecklare använder certifikat med de senaste kryptografiska standarderna, och att minska antalet gamla, bortglömda certifikat som potentiellt kan stjälas och återanvändas i nätfiske och skadliga drive-by-attacker. Om angripare kan bryta kryptografin i SSL/TLS-standarden kommer kortlivade certifikat att se till att människor byter till säkrare certifikat inom ungefär ett år.
Att förkorta certifikatens giltighetstid har vissa nackdelar. Det har noterats att genom att öka frekvensen av certifikatersättningar gör Apple och andra företag också livet lite svårare för sajtägare och företag som måste hantera certifikat och efterlevnad.
Å andra sidan uppmuntrar Let's Encrypt och andra certifikatmyndigheter webbansvariga att implementera automatiserade procedurer för att uppdatera certifikat. Detta minskar mänskliga omkostnader och risken för fel när frekvensen av certifikatutbyte ökar.
Som du vet utfärdar Let's Encrypt gratis HTTPS-certifikat som löper ut efter 90 dagar och ger verktyg för att automatisera förnyelse. Så nu passar dessa certifikat ännu bättre in i den övergripande infrastrukturen eftersom webbläsare anger maximala giltighetsgränser.
Denna ändring gick till omröstning av medlemmar i CA/Browser Forum, men beslutet
Resultat
Certifikatutfärdares röstning
För (11 röster): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidigare Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mot (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidigare Trustwave)
Avstod från att rösta (2): HARICA, TurkTrust
Certifikat konsumenter röstar
För (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
mot: 0
Avstod från att rösta: 0
Webbläsare tillämpar nu denna policy utan medgivande från certifikatutfärdare.
Källa: will.com