Решение было принято на голосовании 193. Единогласно – за высказались 24 Центра Сертификации: GlobalSign, DigiCert, Entrust Datacard, Certum, Comodo, SymantecTurkTrust, Izenpe, Certinomis, Amazon, CNNIC, HARICA, GDCA, Disig, Trustwave, Let’s Encrypt, Quo Vadis, SHECA, CFCA, OATI, Buypass, Logius PKIoverheid, Cisco, SwissSign), а также 5 браузеров – за: Apple, Qihoo 360, Microsoft, Opera, Google и 1 «воздержался» Mozilla
Данные меры будут направлены на повышение уровня безопасности при проверке организаций и доменов. Все Центры Сертификации обязаны следовать новому отраслевому стандарту.
Следуя новым требованиям, с 26 февраля 2018 года, GlobalSign перестанет выпускать 3-летние доверенные сертификаты SSL. Начиная с указанной даты, SSL-сертификаты могут быть выпущены с максимальным сроком действия - 2 года.
До 26 февраля мы предлагаем приобрести SSL-сертификат на 3 года, что позволит вам:
- избежать лишних хлопот с оформлением или продлением, увеличив интервал между заказами сертификатов;
- сэкономить деньги, приобретая SSL сразу на несколько лет.
Мы стремимся к тому, чтобы ваш сайт защищал данные ваших клиентов, обеспечивая должное доверие, а ваши затраты и усилия на обеспечение безопасности были минимальны.
Воспользуйтесь специальным предложением от GlobalSign на 3-летние SSL-сертификаты до 26 февраля:
Для получения дополнительной информации свяжитесь с компанией GlobalSign по телефону:
+7 (499) 678 2210 или электронной почте: sales-ru@globalsign.com
Комментарии (24)
keydon2
05.02.2018 21:38CA то денег побольше срубят. А как это поможет безопасности?
Вроде ж сертификаты прекрасно отзываются в случае компроментации. В чем смысл снижать срок действия сертификатов? Даже наоборот — чаще меняем сертификаты, нужно больше телодвижений, больше вероятность ошибки.
begemot_sun
05.02.2018 21:40Надо делать раз в 3 месяца, как в LetsEncrypt :)
и бесплатно.
Все остальное глупый маркетинг.9660
06.02.2018 05:24Для DV сертификатов (которые бесплатно дает LE) достаточно и раз в 10-20 лет. Остальное и правда маркетинг.
begemot_sun
06.02.2018 10:32Если сертификат будет 20ти летний — то кто там через 20 лет вспомнит поменять его?
в случае 3х месяцев — это должно быть обязательно автоматизировано.9660
06.02.2018 10:37Ответственный вспомнит.
Что до 3х месяцев, я не понимаю кто в здравом уме будет автоматизировать такую операцию как перевыпуск сертификатов, замена их на серверах. Какие-то технические накладки и полетят головы.
Итого при наличии десятков (а то и сотен, у кого как) сертификатов получаем ежетрехмесячный лютый головняк. Удовольствие на любителя.begemot_sun
06.02.2018 10:45Тогда выход — вообще без срока годности. 1М лет.
9660
06.02.2018 10:55Вот реально, я только за. Пусть клиент сам решает на какой сроки, какой именно сертификат ему нужен, и пусть только его беспокоит насколько он надежен.
Но увы большие парни затеяли какие-то большие игры и на конечных пользователей просто кладут болт словами «мы лучше вас знаем что вам нужно».
nikolayv81
07.02.2018 21:14Тау selfsign же?
9660
08.02.2018 01:01Если вы про самоподписанный то с некоторых пор у клиента в броузере больно много шума от этого. Возня с исключениями и тд. Ну и в целом, с точки зрения клиента ситуация непонятная «некий поц с горы клянется что сайт тот за кого себя выдает» это неубедительно.
А внести свой СА в список корневых стоит негуманно дорого.
Для сервиса VPN, к примеру, самоподписанные то что доктор прописал.
andreymal
06.02.2018 23:33Какие-то технические накладки — и крон вовсю вопит на почту всем админам, что всё нахрен сломалось. Я так вообще сделал себе еженедельные уведомления, даже если
сегодня ничего не произошлосертификаты на этой неделе не обновлялись. Если вы не умеете в автоматизацию и мониторинг — это ваши личные проблемы :) А letsencrypt молодец.9660
07.02.2018 03:32Какие-то технические накладки — и крон вовсю вопит на почту всем админам, что всё нахрен сломалось.
Вот уже и фсё. Спасибо не надо.andreymal
07.02.2018 10:18Что фсё? У меня за два года автоматический перевыпуск ни разу не сломался, а даже если сломается, то чинить раз в два года руки не отвалятся, ничем не хуже ручного перевыпуска
9660
07.02.2018 10:55Что фсё?
Фсё это означает лишение премии. А с большой долей вероятности и увольнение.
Если у вас подобные факапы считается нормальным и терпимым — что ж вам повезло.andreymal
07.02.2018 11:00Во-первых, подобных факапов просто не существует, всё работает нормально, вы это сами выдумали в своих комментариях.
Во-вторых, что плохого в проблеме, которую никто не заметит? Сертификаты обновляются за месяц до их истечения (то есть каждые два месяца, реже не рекомендуют) — если админ за ЦЕЛЫЙ БЛИН МЕСЯЦ!!! не сможет починить проблему с автоматическим обновлением, то его действительно нужно уволить как можно скорее и взять кого-то более ответственного. Если же админ ответственный, то о том, что автообновление вообще когда-то ломалось, не узнает никто, кроме него и, может, ещё нескольких ответственных за сайт/сервер админов, пока они сами кому-нибудь не расскажут.
ildarz
06.02.2018 10:50Проблема в навязывании и отсутствии выбора. Допустим, к примеру, я хочу массово внедрить ssl в своей инфраструктуре. Я точно знаю, что 20 лет она попросту не проживет — все несколько раз сапгрейдится за этот срок. И мне нафиг не нужна головная боль с частой сменой сертификатов, потому что автоматизации "из коробки" нет практически нигде, автоматизация, требующая лишь небольшой доработки имеющихся решений, годится только для относительно узкого круга сценариев, а для большинства сервисов смена сертификата является достаточно нетривиальным занятием. И это все притом, что осмысленного ответа на вопрос "ЗАЧЕМ менять сертификат раз в два месяца" не существует.
ildarz
А, то есть теперь с клиента можно брать деньги не раз в три года, а раз в два. И акция "успейте купить трехлетний сертификат". Всё целях безопасности, конечно (и то, и другое). :)
Deosis
Чистый маркетинг. Никто не даст гарантии, что через ДВА года эти сертификаты не превратятся в тыкву.