Что нового

News Максимальный срок службы сертификатов SSL/TLS составит 398 дней

Vander 0

Vander

Команда форума
10.11.2019
483
1 109
1599076991604.png

Начиная с 01.09.2020, срок действия новых сертификатов TLS будет ограничен 398 днями, то есть чуть больше года, по сравнению с предыдущим максимальным сроком службы сертификата в 27 месяцев (825 дней).

В целях повышения безопасности Apple, Google и Mozilla намерены отклонить общедоступные цифровые сертификаты в своих соответствующих веб-браузерах, срок действия которых истекает более 13 месяцев (или 398 дней) с даты их создания.
Срок службы сертификатов SSL / TLS значительно сократился за последнее десятилетие. В 2011 году Certification Authority Browser Forum (CA / Browser Forum), консорциум центров сертификации и поставщиков программного обеспечения для браузеров, ввел ограничение в пять лет, в результате чего срок действия сертификата снизился с 8-10 лет.

Впоследствии, в 2015 году, он был сокращен до трех лет и снова до двух лет в 2018 году.

Хотя предложение сократить срок службы сертификатов до одного года было отклонено в ходе голосования в сентябре прошлого года, эта мера была полностью поддержана такими производителями браузеров, как Apple, Google, Microsoft, Mozilla и Opera.

Затем, в феврале этого года, Apple стала первой компанией, объявившей о намерении отклонить новые сертификаты TLS, выпущенные 1 сентября или после этой даты и имеющие срок действия более 398 дней. С тех пор и Google, и Mozilla последовали их примеру и установили аналогичные 398-дневные ограничения.

Сертификаты, выпущенные до даты вступления в силу, не будут затронуты, как и сертификаты, выпущенные добавленными пользователем или администратором корневыми центрами сертификации (ЦС).
«Подключения к серверам TLS, нарушающие эти новые требования, не будут выполнены», - поясняет Apple в документе поддержки. «Это может вызвать сбои сети и приложений, а также помешать загрузке веб-сайтов».
Со своей стороны, Google намеревается отклонять сертификаты, которые нарушают условие действительности с ошибкой "ERR_CERT_VALIDITY_TOO_LONG", и рассматривать их как неправильно выпущенные.

Кроме того, некоторые поставщики сертификатов SSL, такие как Digicert и Sectigo, уже прекратили выпуск сертификатов со сроком действия два года.
Чтобы избежать непредвиденных последствий, Apple рекомендует выдавать сертификаты с максимальным сроком действия 397 дней.

Почему короткий срок действия сертификата?

Ограничение срока действия сертификатов повышает безопасность веб-сайта, поскольку сокращает период, в течение которого скомпрометированные или поддельные сертификаты могут быть использованы для организации фишинговых и вредоносных атак.

Это не все. Мобильные версии Chrome и Firefox не выполняют проактивную проверку статуса сертификата из-за ограничений производительности, в результате чего веб-сайты с отозванными сертификатами загружаются без предупреждения пользователя.

Для разработчиков и владельцев сайтов разработка - хорошее время для реализации автоматизации сертификатов с помощью таких инструментов, как Let's Encrypt и CertBot от EFF, которые предлагают простой способ установки, выпуска, обновления и замены сертификатов SSL без ручного вмешательства.

«Сертификаты с истекшим сроком годности продолжают оставаться серьезной проблемой, которая ежегодно обходится компаниям в миллионы долларов из-за сбоев в работе», - сказал Крис Хикман, начальник службы безопасности Keyfactor. «Вдобавок к этому более частые предупреждения об истекшем сертификате могут привести к тому, что посетители веб-сайта смогут более комфортно обходить предупреждения системы безопасности и сообщения об ошибках».

«Тем не менее, подписчики сертификатов часто забывают, как и когда заменять сертификаты, вызывая перебои в обслуживании из-за неожиданного истечения [...] срока действия, в результате чего они не могут управлять этими новыми сертификатами с более коротким сроком действия в больших масштабах».
 
Верх Низ