Mga developer ng proyekto ng Chromium , na nagtatakda ng maximum na panghabambuhay ng mga TLS certificate sa 398 araw (13 buwan).
Nalalapat ang kundisyon sa lahat ng mga sertipiko ng pampublikong server na ibinigay pagkatapos ng Setyembre 1, 2020. Kung hindi tumugma ang certificate sa panuntunang ito, tatanggihan ito ng browser bilang hindi wasto at partikular na tutugon nang may error ERR_CERT_VALIDITY_TOO_LONG.
Para sa mga sertipiko na natanggap bago ang Setyembre 1, 2020, pananatilihin ang tiwala at (2,2 taon), tulad ngayon.
Noong nakaraan, ang mga developer ng Firefox at Safari browser ay nagpakilala ng mga paghihigpit sa maximum na habang-buhay ng mga certificate. Magbago din .
Nangangahulugan ito na ang mga website na gumagamit ng mga pangmatagalang SSL/TLS certificate na ibinigay pagkatapos ng cutoff point ay maglalagay ng mga error sa privacy sa mga browser.
Ang Apple ang unang nagpahayag ng bagong patakaran sa isang pulong ng CA/Browser forum . Noong ipinakilala ang bagong panuntunan, ipinangako ng Apple na ilalapat ito sa lahat ng iOS at macOS device. Ito ay maglalagay ng presyon sa mga administrator ng website at mga developer upang matiyak na ang kanilang mga sertipikasyon ay sumusunod.
Ang pagpapaikli sa habang-buhay ng mga certificate ay tinalakay nang maraming buwan ng Apple, Google, at iba pang miyembro ng CA/Browser. Ang patakarang ito ay may mga pakinabang at disadvantages nito.
Ang layunin ng hakbang na ito ay pahusayin ang seguridad ng website sa pamamagitan ng pagtiyak na ang mga developer ay gumagamit ng mga certificate na may pinakabagong mga pamantayan sa cryptographic, at upang bawasan ang bilang ng mga luma, nakalimutang certificate na posibleng manakaw at magamit muli sa phishing at malisyosong drive-by na pag-atake. Kung masisira ng mga umaatake ang cryptography sa pamantayan ng SSL/TLS, titiyakin ng mga panandaliang certificate na lumipat ang mga tao sa mas secure na mga certificate sa loob ng halos isang taon.
Ang pagpapaikli sa panahon ng bisa ng mga sertipiko ay may ilang mga kawalan. Napag-alaman na sa pamamagitan ng pagtaas ng dalas ng pagpapalit ng sertipiko, pinapahirapan din ng Apple at iba pang mga kumpanya ang buhay para sa mga may-ari ng site at mga kumpanya na dapat pamahalaan ang mga sertipiko at pagsunod.
Sa kabilang banda, hinihikayat ng Let's Encrypt at iba pang awtoridad sa certificate ang mga webmaster na magpatupad ng mga automated na pamamaraan para sa pag-update ng mga certificate. Binabawasan nito ang overhead ng tao at ang panganib ng mga error habang tumataas ang dalas ng pagpapalit ng sertipiko.
Tulad ng alam mo, ang Let's Encrypt ay naglalabas ng mga libreng HTTPS certificate na mag-e-expire pagkalipas ng 90 araw at nagbibigay ng mga tool para i-automate ang pag-renew. Kaya ngayon ang mga certificate na ito ay mas nababagay sa pangkalahatang imprastraktura habang ang mga browser ay nagtatakda ng mga maximum na limitasyon sa bisa.
Ang pagbabagong ito ay inilagay sa boto ng mga miyembro ng CA/Browser Forum, ngunit ang desisyon .
Natuklasan
Pagboto ng Tagabigay ng Sertipiko
Para sa (11 boto): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dating Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Laban sa (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dating Trustwave)
Nag-abstain (2): HARICA, TurkTrust
Pagboto ng mga mamimili ng sertipiko
Para sa (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Laban sa: 0
Nag-abstain: 0
Ipinapatupad na ngayon ng mga browser ang patakarang ito nang walang pahintulot ng mga awtoridad sa certificate.
Pinagmulan: www.habr.com