Розробники проекту Chromium
Умова діє всім публічних серверних сертифікатів, виданих після 1 вересня 2020 року. Якщо сертифікат відповідає цьому правилу, браузер відкидатиме його як недійсний, саме відповідати помилкою ERR_CERT_VALIDITY_TOO_LONG
.
Для отриманих до 1 вересня 2020 року сертифікатів довіра буде збережена та
Раніше обмеження на максимальний термін життя сертифікатів зробили розробники браузерів Firefox і Safari. Зміна теж
Це означає, що веб-сайти, які використовують сертифікати SSL/TLS із тривалим терміном служби, випущені після точки відсікання, будуть видавати помилки конфіденційності у браузерах.
Першою нову політику оголосила Apple на засіданні форуму CA/Browser
Скорочення терміну служби сертифікатів вже кілька місяців обговорюється Apple, Google та іншими учасниками CA/Browser. Ця політика має свої переваги та недоліки.
Мета цього кроку – підвищити безпеку веб-сайту, переконавшись, що розробники використовують сертифікати з новітніми криптографічними стандартами, та зменшити кількість старих, забутих сертифікатів, які потенційно можуть бути вкрадені та повторно використані для фішингу та шкідливих атак drive-by. Якщо зловмисники зможуть зламати криптографію у стандарті SSL/TLS, недовговічні сертифікати забезпечать людям перехід на безпечніші сертифікати приблизно через рік.
Скорочення терміну дії сертифікатів має деякі недоліки. Було зазначено, що, збільшуючи частоту заміни сертифікатів, Apple та інші компанії також трохи ускладнюють життя власникам сайтів та компаніям, які мають керувати сертифікатами та відповідністю вимогам.
З іншого боку, Let's Encrypt та інші центри сертифікації стимулюють веб-майстрів впроваджувати автоматизовані процедури оновлення сертифікатів. Це зменшує людські накладні витрати та ризик помилок у міру збільшення частоти заміни сертифікатів.
Як відомо, Let's Encrypt видає безкоштовні HTTPS-сертифікати, термін дії яких закінчується через 90 днів, та надає інструменти для автоматизації продовження. Отже, тепер ці сертифікати ще краще вписуються в загальну інфраструктуру — у міру того, як браузери встановлюють обмеження на максимальний термін дії.
Ця зміна була виставлена на голосування учасниками асоціації CA/Browser Forum, але рішення
Результати
Голосування видавців сертифікатів
За (11 голосів): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (колишній Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Проти (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, Tru Trustwave)
Утрималися (2): HARICA, TurkTrust
Голосування споживачів сертифікатів
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Проти: 0
Утрималося: 0
Тепер браузери примусово запроваджують цю політику без згоди центрів, що засвідчують.
Джерело: habr.com