image

Apple решила вступить в борьбу с долговечными сертификатами HTTPS — Safari в конце этого года откажется принимать новые сертификаты, срок действия которых составляет более 13 месяцев с момента создания. При открытии сайтов, которые используют долгосрочные сертификаты SSL/TLS, выпущенные после этого момента, браузер будет выдавать ошибку конфиденциальности.

Тим Каллан, старший сотрудник Sectigo, управляющей PKI и SSL, сказал The Register: «Сертификаты, выданные до 1 сентября, будут иметь ту же приемлемую продолжительность, что и сегодняшние — 825 дней. Для этих сертификатов никаких действий не требуется».

С 1 сентября любой новый сертификат веб-сайта, действительный более 398 дней, не будет доверен браузеру Safari и будет отклонен. Однако правило не затронет старые сертификаты.

Новая политика Safari распространится на все устройства iOS и MacOS, то есть затронет миллиарды гаджетов и компьютеров.

См. также: «Про PKI «на пальцах» за 10 минут
Целью этого шага является повышение безопасности сайтов. Разработчики будут использовать сертификаты с самыми последними криптографическими стандартами, а количество старых и заброшенных сертификатов, которые потенциально могут применять для фишинговых и вредоносных атак, снизится, уверены в корпорации. Если же мошенники или злоумышленники смогут взломать криптографию в стандарте SSL/TLS, то краткосрочные сертификаты обеспечат переход пользователей на более безопасные сертификаты в течение примерно одного года.

Однако мера имеет и свои недостатки — увеличение частоты замены сертификатов усложняет жизнь владельцам сайтов и компаниям.

«Компании должны стремиться к автоматизации, чтобы помочь с развертыванием сертификатов, их обновлением и управлением жизненным циклом, чтобы снизить накладные расходы и риск ошибок при увеличении частоты замены сертификатов», — отметил Каллан.

Let's Encrypt выпускает бесплатные HTTPS-сертификаты, срок действия которых истекает через 90 дней, и предоставляет инструменты для автоматизации продлений.

В настоящее время GitHub.com использует двухлетний сертификат, что вступит в противоречие с новыми правилами Apple, хотя он был выпущен до установленного срока. Однако этот сертификат должен быть возобновлен к июню, так что у ресурса еще есть возможность решить проблему и сменить его на краткосрочный. А вот, к примеру, собственный веб-сайт Apple имеет годичный сертификат HTTPS, который необходимо обновить в октябре.

Интересная история с Microsoft — двухлетний сертификат на .com истекает в октябре. Если его продлят еще на два года, то это вступит в противоречие с политикой Safari.

На сайте Digicert, компании, которая специализируется на цифровой безопасности, уже появилась страница, посвященная новой политике. Пока же сама Apple не сделала публичного объявления по этому вопросу и отказалась комментировать ситуацию.

Ранее Google в рамках усиления политики безопасности в Chrome объявила о переходе на использование протокола HTTPS при принудительной загрузке файлов с HTTPS-страниц. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.
См. также: «Mozilla проиграла в войне браузеров, но всё ещё считает, что может спасти интернет