Chromium 專案的開發人員 ,它將 TLS 憑證的最長生命週期設定為 398 天(13 個月)。
此條件適用於 1 年 2020 月 XNUMX 日之後頒發的所有公共伺服器憑證。 如果憑證與此規則不匹配,瀏覽器將認為其無效而拒絕它,並特別回應錯誤 ERR_CERT_VALIDITY_TOO_LONG.
對於 1 年 2020 月 XNUMX 日之前收到的證書,將維持信任並 (2,2 年),就像今天一樣。
在此之前,Firefox 和 Safari 瀏覽器的開發者對憑證的最長壽命進行了限制。 也改變一下 .
這表示使用截止點之後頒發的長壽命 SSL/TLS 憑證的網站將在瀏覽器中引發隱私錯誤。
Apple 在 CA/瀏覽器論壇會議上率先宣布了新政策 。 在引入新規則時,蘋果承諾將其應用於所有 iOS 和 macOS 裝置。 這將給網站管理員和開發人員帶來壓力,以確保他們的認證符合要求。
蘋果、谷歌和其他 CA/瀏覽器成員已經就縮短憑證的生命週期進行了數月的討論。 這項政策有其優點和缺點。
此舉的目標是透過確保開發人員使用符合最新加密標準的憑證來提高網站安全性,並減少可能被竊取並在網路釣魚和惡意偷渡式攻擊中重複使用的舊的、被遺忘的憑證的數量。 如果攻擊者能夠破解 SSL/TLS 標準中的加密技術,那麼短期憑證將確保人們在大約一年內轉向更安全的憑證。
縮短證書的有效期限有一些缺點。 人們注意到,透過增加證書更換的頻率,蘋果和其他公司也讓必須管理證書和合規性的網站所有者和公司的生活變得更加困難。
另一方面,Let's Encrypt 和其他憑證授權單位鼓勵網站管理員實施更新憑證的自動化程序。 隨著證書更換頻率的增加,這減少了人力開銷和錯誤風險。
如您所知,Let's Encrypt 頒發免費的 HTTPS 證書,該證書將在 90 天後過期,並提供自動續訂的工具。 因此,隨著瀏覽器設定最大有效性限制,這些憑證現在可以更好地融入整體基礎架構。
此更改已由 CA/瀏覽器論壇的成員進行投票,但決定 .
Результаты
證書頒發者投票
贊成(11票):Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo(以前稱為 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反對 (20):Camerfirma、Certum (Asseco)、CFCA、中華電信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firmaprofesional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCAign、TrustCorure、SecureT )信任波)
棄權 (2):哈里卡、土耳其信託
證書消費者投票
對於 (7):蘋果、思科、Google、微軟、Mozilla、Opera、360
針對:0
棄權:0
現在,瀏覽器在未經憑證授權單位同意的情況下強制執行此策略。
來源: www.habr.com