Розробники проекту Chromium що встановлює максимальний термін життя TLS-сертифікатів в 398 днів (13 місяців).
Умова діє всім публічних серверних сертифікатів, виданих після 1 вересня 2020 року. Якщо сертифікат відповідає цьому правилу, браузер відкидатиме його як недійсний, саме відповідати помилкою ERR_CERT_VALIDITY_TOO_LONG.
Для отриманих до 1 вересня 2020 року сертифікатів довіра буде збережена та (2,2 роки), як сьогодні.
Раніше обмеження на максимальний термін життя сертифікатів зробили розробники браузерів Firefox і Safari. Зміна теж .
Це означає, що веб-сайти, які використовують сертифікати SSL/TLS із тривалим терміном служби, випущені після точки відсікання, будуть видавати помилки конфіденційності у браузерах.
Першою нову політику оголосила Apple на засіданні форуму CA/Browser . Впроваджуючи нове правило, Apple пообіцяла застосовувати його на всіх пристроях iOS та macOS. Це чинитиме тиск на адміністраторів веб-сайтів та розробників, щоб їх сертифікати відповідали вимогам.
Скорочення терміну служби сертифікатів вже кілька місяців обговорюється Apple, Google та іншими учасниками CA/Browser. Ця політика має свої переваги та недоліки.
Мета цього кроку – підвищити безпеку веб-сайту, переконавшись, що розробники використовують сертифікати з новітніми криптографічними стандартами, та зменшити кількість старих, забутих сертифікатів, які потенційно можуть бути вкрадені та повторно використані для фішингу та шкідливих атак drive-by. Якщо зловмисники зможуть зламати криптографію у стандарті SSL/TLS, недовговічні сертифікати забезпечать людям перехід на безпечніші сертифікати приблизно через рік.
Скорочення терміну дії сертифікатів має деякі недоліки. Було зазначено, що, збільшуючи частоту заміни сертифікатів, Apple та інші компанії також трохи ускладнюють життя власникам сайтів та компаніям, які мають керувати сертифікатами та відповідністю вимогам.
З іншого боку, Let's Encrypt та інші центри сертифікації стимулюють веб-майстрів впроваджувати автоматизовані процедури оновлення сертифікатів. Це зменшує людські накладні витрати та ризик помилок у міру збільшення частоти заміни сертифікатів.
Як відомо, Let's Encrypt видає безкоштовні HTTPS-сертифікати, термін дії яких закінчується через 90 днів, та надає інструменти для автоматизації продовження. Отже, тепер ці сертифікати ще краще вписуються в загальну інфраструктуру — у міру того, як браузери встановлюють обмеження на максимальний термін дії.
Ця зміна була виставлена на голосування учасниками асоціації CA/Browser Forum, але рішення .
Результати
Голосування видавців сертифікатів
За (11 голосів): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (колишній Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Проти (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, Tru Trustwave)
Утрималися (2): HARICA, TurkTrust
Голосування споживачів сертифікатів
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Проти: 0
Утрималося: 0
Тепер браузери примусово запроваджують цю політику без згоди центрів, що засвідчують.
Джерело: habr.com