Как мы помним, в 2018 году максимальный срок действия публичных сертификатов SSL/TLS уменьшили до 825 дней, а в 2020 году — до 398 дней (13 месяцев). Соответствующие решения в 2018−2020 годы принял Форум CA/B (CA/Browser Forum) — добровольный консорциум удостоверяющих центров, разработчиков браузеров, ОС и других приложений с поддержкой PKI. Хотя многие участники голосовали против такого предложения, но впоследствии им пришлось пересмотреть своё решение с учётом общественного мнения. Даже опрос GlobalSign на Хабре показал, что 72,7% респондентов «скорее поддерживают» сокращение срока действия сертификатов.

Это не единственная новация в порядке обращения сертификатов. В 2021−2022 гг нас ожидает ещё несколько изменений.

Итак, что изменится в работе удостоверяющих центров в 2021−2022 годы.

Удостоверяющий центр обязан верифицировать доменные имена и IP-адреса не более чем за 398 дней до выдачи сертификата

Дата вступления в силу: 1 октября 2021 г.

Пояснение. Максимальный срок действия сертификата уменьшили до 398 дней, но период повторной проверки доменов и организаций оставался на уровне 825 дней, так что в некоторых случаях при смене владельца домена существующие сертификаты продолжали заменяться/выпускаться предыдущим удостоверяющим центром. Вполне логично, что этот срок тоже уменьшили. Решение принято единогласно.

Для сравнения, крупнейший в интернете удостоверяющий центр Let's Encrypt выпускает сертификаты с максимальным сроком действия 90 дней и повторной проверкой домена в течение максимум 30 дней, так что между проверкой и истечением срока действия сертификата проходит не более 4 месяцев.

Можем ожидать, что отрасль будет стремиться к базовому уровню Let's Encrypt, а в итоге установит сроки даже короче, чем у него.

Зачем сокращают срок действия сертификатов?

Ранее Google заявляла, что стремится сократить максимальный срок действия SSL-сертификатов до целевого показателя в 90 дней. Такое сокращение потребует от владельцев веб-сайтов полной автоматизации выдачи, переоформления и продления сертификатов. Нынешнее сокращение максимального срока — шаг в этом направлении.

Короткие времена жизни сертификатов имеют два главных преимущества с точки зрения информационной безопасности:

1. Ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов, так как они используются на меньшем промежутке времени.
   
2. Поощрение автоматизации.

Только полная автоматизация и прозрачность действий с сертификатами позволит избавиться от нынешних проблем с безопасностью (они часто объясняются человеческим фактором) и надёжно зашифровать 100% публичного трафика. А это главная цель, к которой стремится IT-сообщество.

Запретить выдачу SAN- и wildcart-сертификатов после одной HTTP-проверки главного домена

Дата вступления в силу: 1 декабря 2021 г.

Методы HTTP-проверки домена типа «Согласованные изменение веб-сайта» (3.2.2.4.16, 3.2.2.4.18 и 3.2.2.4.19) используются для проверки контроля над доменом. Если вы способны разместить файл в определённом каталоге веб-сайта, это «демонстрирует» контроль над доменом.

Но на самом деле это доказательство лишь контроля над сайтом/хостингом, но не над всем доменным пространством внутри этого домена.

В то же время владелец (или взломщик) условного example.com получает право выдачи сертификаты поддоменам, хотя там могут размещаться другие организации. С 1 декабря 2021 года это станет невозможно. Другими словами, wildcard-сертификаты и сертификаты SAN на много поддоменов станут запрещены в случае HTTP-проверки одного лишь главного домена.

Если пользователи хотят продолжить проверки именно по HTTP, им придётся проверять каждый SAN:DNSName по отдельности.

Предложенное изменение методики проверки от Райана Сливи (Google) принято единогласно.

Ротация промежуточных центров сертификации GlobalSign

Сроки: 24 августа 2021 г., затем ежеквартально в 2022 г.

Для безопасности и обеспечения гибкости системы GlobalSign начинает ротацию промежуточных центров сертификации Atlas TLS на плановой основе. Исторически в течение многих лет использовались одни и те же CA, но есть много причин установить краткие интервалы для ротации:

• Ограничение количества сертификатов от одного CA с соответствующим закрытым ключом, что повышает криптостойкость системы.
  
• Ограничение вреда в случае проблемы с целостностью или безопасностью CA.
  
• Меньше размер CRL (списки отозванных сертификатов), что повышает производительность.
  
• Обучение клиентов ожидать и планировать немедленную замену CA, что повышает их криптостойкость.
  
• Окончательный план предусматривает ежеквартальную ротацию всех центров сертификации GlobalSign Atlas TLS и ежегодную ротацию выделенных для клиента центров CA.
  
• Первая ротация состоится 24 августа 2021 года.
  
• Начиная с 2022 года вводится ежеквартальная ротация GlobalSign Atlas TLS CA во второй понедельник каждого квартала и ежегодная ротация выделенных клиентских CA в январе.

При установке новых сертификатов TLS клиенты всегда должны быть готовы принять новые CA. Рекомендуется придерживаться гибких практик, всегда загружать и устанавливать новый промежуточный CA при получении новых сертификатов. Нельзя делать привязку открытого ключа к сертификатам CA, да и вообще лучше не делать никакой привязки открытого ключа.

Дополнительную информацию см. на сайте техподдержки.

Изменения в использовании ключей ECC

Дата вступления в силу: 26 июля 2021 г.

GlobalSign меняет использование ключей в публичных сертификатах ECC TLS в соответствии с лучшими отраслевыми практиками и будущими изменениями в Базовых требованиях Форума CA/B для серверных сертификатов SSL/TLS.

Ранее сертификат содержал цифровую подпись и соглашение о ключах, а теперь — только цифровую подпись.

Было решено, что указание соглашение о ключах в сертификате создаёт потенциальные проблемы безопасности для конечных пользователей, поскольку в рамках сессии TLS ключ подписи и ключ шифрования должны отличаться.

Для особых пользовательских профилей, выходящих за рамки традиционных сеансов TLS между браузером и сервером, рекомендуется обратиться к решениям типа private trust.

Удаление поля OU

Крайний срок: 31 августа 2022 года

Компания Google давно обеспокоена тем, как проверяется поле OU в сертификатах TLS. В базовых требованиях Форума CA/B чётко указано, для каких полей (C, S, L, Org и т. д.) требуется получить информацию от компании. Но в этом списке отсутствует поле OU (Organizational Unit), что позволяет клиентам включать туда непроверенную и, возможно, вводящую в заблуждение информацию. Поэтому специалисты по безопасности из Google настойчиво требовали удалить это ненужное поле.

Форум CA/B единогласно поддержал это решение.

Хотя крайний срок установлен на 31 августа 2022 года, удостоверяющие центры начали отказываться от поля OU уже в последние месяцы.

---

Работайте удаленно! PKI-решения для малого и среднего бизнеса
Подробности уточняйте у менеджеров +7 (499) 678 2210, sales-ru@globalsign.com.