Розробники проєкту Chromium внесли зміну, яка припиняє довіру до TLS-сертифікатів, час життя яких перевищує 398 днів (13 місяців). Компанії Apple і Mozilla раніше ухвалили рішення ввести аналогічне обмеження в Safari, Firefox. Обмеження діятиме лише для сертифікатів, виписаних починаючи з 1 вересня 2020 року. Для одержаних до 1 вересня сертифікатів з тривалим терміном дії довіру буде збережено, але обмежено 825 днями (2.2 року). Спроба відкриття в браузері сайт з сертифікатом, що не відповідає згаданим критеріям, буде приводити до показу помилки "ERR_CERT_VALIDITY_TOO_LONG".
У минулому і позаминулому роках зміну було виставлено на голосування учасниками асоціації CA/Browser Forum, яка використовується як майданчик для узгодження спільних рішень виробниками браузерів і засвідчувальними центрами. Раніше виробникам браузерів вдалося відстояти скорочення часу життя сертифікатів спочатку до 8, потім до 5, а потім і до 3 років. У 2018 році була зроблена спроба скорочення дії до року, але, кінець кінцем, було затверджено компромісне рішення і термін був обмежений двома роками. Торік спроба повторилася, але рішення щодо обмеження терміну дії сертифікатів до одного року не було затверджено через не погодження більшості засвідчувальних центрів. У лютому 2020 року компанія Apple вирішила ввести обмеження без погодження CA/Browser Forum, у березні до ініціативи приєдналася компанія Mozilla, а тепер і Google.
Зміна може негативно позначитися на бізнесі центрів, що засвідчують, що продають дешеві сертифікати з тривалим терміном дії, що доходить до 5 років. На думку виробників браузерів генерація подібних сертифікатів створює додаткові загрози безпеки, заважає оперативному впровадженню нових криптографічних стандартів і дозволяє зловмисникам тривалий час контролювати трафік жертви або використовувати для фішингу у разі непомітною витоку сертифіката в результаті злому.
Коментарі (2)