Chromium projesinin geliştiricileri TLS sertifikalarının maksimum ömrünü 398 güne (13 ay) ayarlar.
Bu koşul, 1 Eylül 2020'den sonra verilen tüm genel sunucu sertifikaları için geçerlidir. Sertifika bu kurala uymuyorsa tarayıcı onu geçersiz olarak reddedecek ve özellikle bir hatayla yanıt verecektir. ERR_CERT_VALIDITY_TOO_LONG.
1 Eylül 2020'den önce alınan sertifikalar için güven korunacak ve (2,2 yıl), bugünkü gibi.
Daha önce Firefox ve Safari tarayıcılarının geliştiricileri, sertifikaların maksimum ömrüne kısıtlamalar getirmişti. Sen de değiştir .
Bu, kesme noktasından sonra verilen uzun ömürlü SSL/TLS sertifikalarını kullanan web sitelerinin tarayıcılarda gizlilik hataları oluşturacağı anlamına gelir.
CA/Tarayıcı forumu toplantısında yeni politikayı ilk duyuran Apple oldu . Apple, yeni kuralı tanıtırken bunu tüm iOS ve macOS cihazlarına uygulayacağına söz verdi. Bu, web sitesi yöneticileri ve geliştiricileri üzerinde, sertifikalarının uyumlu olmasını sağlama konusunda baskı oluşturacaktır.
Sertifikaların ömrünün kısaltılması Apple, Google ve diğer CA/Tarayıcı üyeleri tarafından aylardır tartışılıyor. Bu politikanın avantajları ve dezavantajları vardır.
Bu hamlenin amacı, geliştiricilerin en son şifreleme standartlarına sahip sertifikalar kullanmasını sağlayarak web sitesi güvenliğini artırmak ve potansiyel olarak çalınabilecek ve kimlik avı ve kötü amaçlı arabadan geçme saldırılarında yeniden kullanılabilecek eski, unutulmuş sertifikaların sayısını azaltmaktır. Saldırganlar SSL/TLS standardındaki kriptografiyi kırabilirse, kısa ömürlü sertifikalar kişilerin yaklaşık bir yıl içinde daha güvenli sertifikalara geçmesini sağlayacak.
Sertifikaların geçerlilik süresinin kısaltılmasının bazı dezavantajları bulunmaktadır. Apple ve diğer şirketlerin, sertifika değiştirme sıklığını artırarak, site sahiplerinin ve sertifikaları ve uyumluluğu yönetmesi gereken şirketlerin de hayatını biraz daha zorlaştırdığı kaydedildi.
Öte yandan Let's Encrypt ve diğer sertifika yetkilileri, web yöneticilerini sertifikaları güncellemek için otomatik prosedürler uygulamaya teşvik ediyor. Bu, sertifika değiştirme sıklığı arttıkça insan yükünü ve hata riskini azaltır.
Bildiğiniz gibi Let's Encrypt, süresi 90 gün sonra dolacak ücretsiz HTTPS sertifikaları veriyor ve yenilemeyi otomatikleştirecek araçlar sağlıyor. Tarayıcılar maksimum geçerlilik sınırlarını belirledikçe artık bu sertifikalar genel altyapıya daha da iyi uyum sağlıyor.
Bu değişiklik CA/Tarayıcı Forumu üyeleri tarafından oylamaya sunuldu, ancak karar .
Bulgular
Sertifikayı Veren Oyu
(11 oy) için: Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (eski adıyla Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Karşı (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (eski) Güven dalgası)
Çekimser kaldı (2): HARICA, TurkTrust
Sertifika tüketicileri oy veriyor
(7) için: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Karşı: 0
Çekimser kaldı: 0
Tarayıcılar artık bu politikayı sertifika yetkililerinin izni olmadan uyguluyor.
Kaynak: habr.com