Браузеры Safari и Mozilla теперь автоматически будут отклонять TLS-сертификаты, срок действия которых составляет более 398 дней. Подобное решение уже было озвучено Apple в начале года, но теперь и другие разработчики браузеров сочли его разумным. Поддержали решение и в Google.
В течение многих лет за регламент выпуска сертификатов отвечала организация CA/B Forum. Сотрудники организации предлагали определенные правила удостоверяющего центра, обсуждали их с представителями популярных браузеров, а после согласования всех вопросов регламент начинал действовать. В течение последних 15 лет основные споры вызывал именно вопрос сроков действия TLS-сертификатов.
Постепенно сроки действия сертификатов уменьшались – с 8 до 2 лет. В 2018 г. разработчики требовали сократить срок до 1 года, но в итоге договорились с CA/B Forum на два года. В 2019 г. разработчики опять выставили требование по сокращению сроков до 1 года, тогда с соответствующей инициативой выступила корпорация Google. Несмотря на полную поддержку со стороны разработчиков, инициатива не была принята.
В итоге в начале 2020 г. корпорация Apple пошла против CA/B Forum, не став выносить вопрос сокращения сроков действия TLS-сертификатов на голосование, уведомила удостоверяющий центр, что теперь Safari принимает только те сертификаты, срок действия которых составляет менее 398 дней. Спустя несколько месяцев решение было безоговорочно поддержано со стороны Mozilla и Google.
Практика приема TLS-сертификатов со сроком действия не более 398 будет реализована в Safari, Mozilla и Chrome с 01.09.20 г. Браузеры и соответствующие устройства корпораций Apple и Google будут выдавать ошибку, если новый TLS-сертификат будет действовать более 398 дней.
Разработчики неспроста заинтересованы в сокращении сроков действия сертификатов. Дело в том, что после злоупотребления TLS-сертификатом для вредоносного ПО, фишинга и иных киберпреступных операций он должен быть отозван центром сертификации. Но процедура отзыва в течение многих лет была беспорядочной – редко, когда удостоверяющий центр отзывал сертфикаты максмимально оперативно, поэтому некоторые скомпрометированные сертфикаты работали годами, что позволяло киберпреступникам пользоваться ими повторно.
Разработчики уверяют, что сокращение сроков службы TLS-сертификатов позволит обеспечить дополнительную безопасность – сами сертификаты станут недействительными быстрее, чем центр сертификации их отзовет.