Apple решила вступить в борьбу с долговечными сертификатами HTTPS — Safari в конце этого года откажется принимать новые сертификаты, срок действия которых составляет более 13 месяцев с момента создания. При открытии сайтов, которые используют долгосрочные сертификаты SSL/TLS, выпущенные после этого момента, браузер будет выдавать ошибку конфиденциальности.
Тим Каллан, старший сотрудник Sectigo, управляющей PKI и SSL, сказал The Register: «Сертификаты, выданные до 1 сентября, будут иметь ту же приемлемую продолжительность, что и сегодняшние — 825 дней. Для этих сертификатов никаких действий не требуется».
С 1 сентября любой новый сертификат веб-сайта, действительный более 398 дней, не будет доверен браузеру Safari и будет отклонен. Однако правило не затронет старые сертификаты.
Новая политика Safari распространится на все устройства iOS и MacOS, то есть затронет миллиарды гаджетов и компьютеров.
См. также: «Про PKI «на пальцах» за 10 минутЦелью этого шага является повышение безопасности сайтов. Разработчики будут использовать сертификаты с самыми последними криптографическими стандартами, а количество старых и заброшенных сертификатов, которые потенциально могут применять для фишинговых и вредоносных атак, снизится, уверены в корпорации. Если же мошенники или злоумышленники смогут взломать криптографию в стандарте SSL/TLS, то краткосрочные сертификаты обеспечат переход пользователей на более безопасные сертификаты в течение примерно одного года.
Однако мера имеет и свои недостатки — увеличение частоты замены сертификатов усложняет жизнь владельцам сайтов и компаниям.
«Компании должны стремиться к автоматизации, чтобы помочь с развертыванием сертификатов, их обновлением и управлением жизненным циклом, чтобы снизить накладные расходы и риск ошибок при увеличении частоты замены сертификатов», — отметил Каллан.
Let's Encrypt выпускает бесплатные HTTPS-сертификаты, срок действия которых истекает через 90 дней, и предоставляет инструменты для автоматизации продлений.
В настоящее время GitHub.com использует двухлетний сертификат, что вступит в противоречие с новыми правилами Apple, хотя он был выпущен до установленного срока. Однако этот сертификат должен быть возобновлен к июню, так что у ресурса еще есть возможность решить проблему и сменить его на краткосрочный. А вот, к примеру, собственный веб-сайт Apple имеет годичный сертификат HTTPS, который необходимо обновить в октябре.
Интересная история с Microsoft — двухлетний сертификат на .com истекает в октябре. Если его продлят еще на два года, то это вступит в противоречие с политикой Safari.
На сайте Digicert, компании, которая специализируется на цифровой безопасности, уже появилась страница, посвященная новой политике. Пока же сама Apple не сделала публичного объявления по этому вопросу и отказалась комментировать ситуацию.
Ранее Google в рамках усиления политики безопасности в Chrome объявила о переходе на использование протокола HTTPS при принудительной загрузке файлов с HTTPS-страниц. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.
См. также: «Mozilla проиграла в войне браузеров, но всё ещё считает, что может спасти интернет
Aquahawk
Да, именно так в современном мире творятся новейшие веб стандарты.
Mur81
We do what we must because we can
For the good of all of us
Except the ones who are dead
…
Что-то вспомнилось…