TLS / SSL sertifikāti - jauns derīguma ierobežojums, kas noteikts kopš 2020. gada septembra

Maksimālais derīguma termiņš (a) SSL sertifikāti / TLS pēdējos gados ir daudz mainījies, un katru reizi, kad tiek veiktas izmaiņas, termiņš kļuva arvien īsāks.
Pirms 2011. gada maksimālais TLS sertifikātu darbības laiks bija vecumā no 8 līdz 10 gadiem, un pēc 2011. gada CA / Pārlūka forums (Certification Authority Browser Forum), lai to samazinātu līdz 5 gadiem.
Pēc tam 2015. gadā TLS maksimālais derīguma termiņš tika samazināts līdz 3 gadiem, lai 2018. gadā tas sasniegtu maksimāli 2 gadus.

2019. gada septembra vēlēšanās priekšlikums par tā ierobežošanu uz vienu gadu tika noraidīts, neskatoties uz Google spēcīgo atbalstu, Apple, Microsoft, Mozilla un Opera. Tomēr 2020. gada februārī Apple paziņoja, ka, sākot ar 1. gada 2020. septembri, tā noraidīs jaunos TLS sertifikātus, kuru termiņš pārsniedz 398 dienas. Lēmums Apple ātri pieņēma Google, Mozilla un Microsoft.

Sertifikātus, kas izsniegti pirms šī lēmuma ieviešanas datuma, un "CA" tipa saknes sertifikātus šīs izmaiņas neietekmēs, pat ja to derīguma termiņš pārsniedz 398 dienas. To atjaunošanas laikā maksimālajam termiņam jāatbilst jaunajām prasībām.

"Izveidosies savienojums ar TLS serveriem, kas pārkāpj šīs jaunās prasības", teica Apple atbalsta dokumentā. Citiem vārdiem sakot, neatbilstošs TLS sertifikāts neļaus lietojumprogrammām, pasta serveriem vai vietnēm darboties sistēmās un lietojumprogrammās, kuras izstrādājusi Apple.
Savukārt Google ir paziņojis, ka atzīmēs ar kļūdas kodu "ERR_CERT_VALIDITY_TOO_LONG", Sertifikāti, uz kuriem neattiecas jaunais derīguma termiņš, un tos uzskatīs par nepareizi izsniegtiem.

SSL pakalpojumu sniedzēji lai izvairītos no nepatīkamiem pārsteigumiem, viņi no šī gada vasaras sāka izņemt pakas ar derīguma termiņu 2 gadi. Jaunie sertifikāti, kuru maksimālais termiņš ir 397 dienas, kā to ieteikuši sertifikāti no Apple.

Lēmums ierobežot dzīves periodu a SSL sertifikāts / TLS, tika pieņemts tiešsaistes drošības apsvērumu dēļ. Jo īsāks sertifikāta derīguma termiņš, jo mazāks risks, ka tas darbosies ilgāk un pēc tam, kad tas būs apdraudēts.
Pašlaik ir tīmekļa adreses (vietnes), kuras, lai arī tām ir derīgi SSL / TLS sertifikāti, ir bīstamas apmeklētājiem. Tie satur ļaunprātīgu programmatūru, reklāmprogrammatūru vai pikšķerēšanas programmas. Tās paliek atzīmētas kā “drošas”, līdz tām jāatjauno SSL.
Vēl sliktāk ir viedtālruņu lietotājiem, kuri tīmekļa lapu pārlūkošanai izmanto Firefox vai Chrome. Veiktspējas dēļ Chrome un Firefox mobilajām ierīcēm nepārbauda SSL sertifikātus reāllaikā. Tādējādi lietotāji bez brīdināšanas var piekļūt tīmekļa lapām, kuru sertifikāti ir atsaukti.

TLS / SSL sertifikāti - jauns derīguma ierobežojums, kas noteikts kopš 2020. gada septembra

Par autoru

Maskēšanās

Kaislīgi pret visu, kas nozīmē sīkrīku un IT, es ar prieku rakstu vietnē stealthsettings.com no 2006 un man patīk atklāt jaunas lietas par datoriem un macOS, Linux operētājsistēmām, Windows, iOS un Android.

Leave a Comment