Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней

image

С 1 сентября 2020 года браузеры и устройства Apple, Google и Mozilla перестанут принимать новые сертификаты TLS, срок службы которых превышает 398 дней. Объединение центров сертификации CA/B Forum выступало против этого шага.

С 2005 года эта группа разрабатывает правила о том, как должны выдаваться TLS-сертификаты и как браузеры должны работать с ними. Изначально срок службы TLS составлял восемь лет, но за эти годы он снизился сначала до пяти, затем до трех, и, наконец, до двух лет. В марте 2018 года компании пытались сократить срок действия сертификатов сразу с трех до одного года, но из-за активного сопротивления со стороны ЦС решили ограничиться двумя годами. Однако заявления о дальнейшем сокращении этого срока снова зазвучали в 2019 году.

Однако на этот раз Apple, Google и Mozilla достигли компромисса. Ранее, в феврале, Apple в нарушение стандартной процедуры согласования с CA/B Forum просто объявила о своем решении внедрить 398-дневное ограничение для службы сертификатов на своих устройствах.

Две недели спустя с аналогичным заявлением выступили в Mozilla. Наконец, в начале этого месяца Google поддержала инициативу.

Проблема, на которую указывают компании, заключается в том, что после злоупотребления сертификатом TLS для распространения вредоносных программ, фишинга или других операций он должен быть отозван центром сертификации. Однако на практике процесс отзыва был беспорядочным: очень немногие центры сертификации делали это вовремя, в итоге скомпрометированные сертификаты работали годами и могли использоваться злоумышленниками повторно.

Производители браузеров утверждают, что, если срок службы ненадежных сертификатов TLS сократится, то они будут становиться недействительными быстрее.

Кроме того, компании ожидают, что со временем хакеры будут пытаться дешифровать трафик HTTPS. Они надеются сделать этот процесс более ресурсоемким для злоумышленников.

Однако центры сертификации считают, что ни одна из этих проблем на самом деле не имеет значения, поскольку от ненадежных сертификатов TLS, как правило, отказываются после их компрометации, особенно сейчас, когда многие компании предоставляют бесплатные сертификаты. В ЦС отмечают, что сокращение продолжительности жизни просто создает больше работы для IT-групп и меняет отраслевые стандарты, которые, по их мнению, должны оставаться стабильными и не меняться каждый год.

Несмотря на это, центр сертификации Actalis подтвердил, что «нравится им это или нет», они «вынуждены подчиниться». D-TRUST, другой ЦС, заявил, что также будет вынужден соблюдать требование о новом сроке службы, но дал понять, что не видит «какого-либо усиления безопасности или других преимуществ за счет сокращения срока действия сертификата». В Telia описали ситуацию как «ненужное бремя для сообщества».

Таким образом, после 1 сентября владельцам сайтов придется продлевать TLS-сертификаты ежегодно. Пользователи же могут столкнуться с ростом числа ошибок конфиденциальности в своих браузерах.

См. также:

© Habrahabr.ru