W marcu 2020 roku Apple oficjalnie zapowiedział, że od 1 września b.r. przestaje uznawać certyfikaty SSL wydane na dłużej niż 398 dni. W czerwcu branżę certyfikatów SSL zaskoczył tweet Deana Coclina, pracownika DigiCert, który oświadczył, że do Apple dołącza Google.



Skąd niechęć do 2-letnich certyfikatów, dlaczego decyzja Google jest tak ważna i co zmiana oznacza dla posiadaczy certyfikatów wydanych przed 1 września?


Dlaczego nie 2 lata?

Historia skracania okresu ważności certyfikatów SSL sięga lipca 2012 roku kiedy to ustalono, że maksymalny okres wynosić może nie więcej niż 10 lat. W 2015 okres ten skrócono do 3 lat, by w 2018 stanąć na dwóch.

Wśród obiekcji, jakie pojawiają się wobec certyfikatów o dłuższym niż rok okresie ważności, najczęściej pojawiają się:

  • Certyfikaty wydawane na długie okresy często mają nieaktualne dane organizacji, dla której zostały wydane, zmienia się nazwa firmy, firma upada, domena zmienia abonenta,
  • Jeżeli zmienia się polityka rozpoznawalności certyfikatów przez przeglądarki, certyfikaty mogą być błędnie wyświetlane,
  • Zmiany w algorytmach szyfrowania, np.: przejście z SHA-1 uznanego za niedostatecznie bezpieczny do SHA-2, lub zmiana długości klucza szyfrowania,
  • Błędy w rozpoznawaniu przez przeglądarki odwołanych certyfikatów. Przeglądarki używają własnych list odwołanych certyfikatów (CRLset).

Jak przyznaje Dean Coclin [2]:

Krótkotrwałe certyfikaty poprawiają bezpieczeństwo, ponieważ zmniejszają okno ekspozycji w przypadku naruszenia certyfikatu TLS. […] zapewniają coroczne aktualizacje danych, takich jak nazwy firm, adresy i aktywne domeny.


Stanowisko Apple

Apple powołując się na „nieustające wysiłki na rzecz poprawy bezpieczeństwa sieci” [1] i ” ochronę użytkowników” od 1 września 2020 r. skraca maksymalny dopuszczalny okres ważności certyfikatów SSL do 398 dni. Jak podaje Apple:

Po tej dacie połączenia z serwerami TLS naruszające ten wymóg zakończą się niepowodzeniem. Może to spowodować awarie sieci i aplikacji oraz uniemożliwić ładowanie stron internetowych.

Zmiana ta wpłynąć ma tylko na:

  • certyfikaty wydane z głównych urzędów certyfikacji z preinstalowanym systemem iOS, iPadOS, macOS, watchOS i tvOS,
  • certyfikaty wydane po 1 września 2020 r.

Mam certyfikat 2-letni, co się zmieni?

Jeśli posiadasz certyfikat 2-letni wydany przed 1 września 2020 będzie on działał bez zmian na Safari i Chrome do końca swojego terminu, chyba że po 1 września ponownie wydasz go (reissue) lub wydasz jego duplikat. Wówczas okres ważności takiego certyfikatu zostanie skrócony do 398 dni.

Kiedy reissue może być konieczne?

  • gdy dodajesz, usuwasz domenę do certyfikatu,
  • gdy zamieniasz domenę na certyfikacie,
  • w wypadku certyfikatów OV, gdy zmieniają się informacje o organizacji (nazwa, adres, numer telefonu itp.).

Stanowisko Google

Niestety nadal nie doczekaliśmy się oficjalnego stanowiska ze strony Google Chrome, niemniej zapytane przez nas CA potwierdzają, że dostosowują swoją ofertę do nadchodzących zmian.

Dlaczego decyzja Google jest tak istotna?

Jak podaje StatCounter [3], udział Chrome w rynku przeglądarek internetowych na świecie wynosi 65,47%, a w samej Polsce aż 72,86% (dane na czerwiec 2020).

Udział przeglądarek internetowych w rynku
Maj 2019 – czerwiec 2020, Polska

Jeśli więc sam Chrome przestanie wyświetlać poprawnie strony większość użytkowników Internetu zobaczy błąd.


Źródła:

[1] https://support.apple.com/en-us/HT211025
[2] https://www.digicert.com/blog/position-on-1-year-certificates/
[3] https://gs.statcounter.com/

Jak podobał Ci się ten artykuł?
5 Liczba ocen: 2

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Poznaj najnowsze wpisy w kategorii Bezpieczeństwo

DMARC - czyli jak zwiększyć bezpieczeństwo korespondencji mailowej

DMARC - czyli jak zwiększyć bezpieczeństwo korespondencji mailowej

Codziennie wysyłamy globalnie setki tysięcy maili. Korespondencja mailowa zrewolucjonizowała komunikację. Bezpieczeństwo, słowo klucz nabiera szczególnego znaczenia. Poznaj rekord DMARC.

Czytaj dalej >>
Certyfikat VMC

Logo Twojej firmy w poczcie e-mail. Poznaj certyfikat VMC

VMC jest rodzajem certyfikatu cyfrowego, który potwierdza autentyczność Twojego logotypu w wiadomości. Oznacza to, że wysyłając e-mail, w skrzynce odbiorczej, adresat zamiast Twoich inicjałów, może zobaczyć logotyp Twojej marki.

Czytaj dalej >>
@Poczta Kwiatowa. Case study

®Poczta Kwiatowa, czyli jak bezpiecznie dostarczyć przesyłkę na drugi koniec świata?

Imieniny, urodziny? A może wyjątkowa rocznica? Lub po prostu, chęć powiedzenia “Dobrze, że jesteś”. Nie ważne czy jesteś blisko, czy daleko. ®Poczta Kwiatowa to rozwiązanie, które jest zawsze na czas.

Czytaj dalej >>