Chrome, Firefox и Safari ограничат время жизни TLS-сертификатов 13 месяцами

Discussion in 'Мировые новости. Обсуждения.' started by Suicide, 29 Jun 2020.

  1. Suicide

    Suicide Super Moderator
    Staff Member

    Joined:
    24 Apr 2009
    Messages:
    1,995
    Likes Received:
    4,767
    Reputations:
    693
    Разработчики проекта Chromium внесли изменение, прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Компании Apple и Mozilla ранее приняли решение ввести аналогичное ограничение в Safari и Firefox. Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года). Попытка открытия в браузере сайта с сертификатом, не соответствующим упомянутым критериям, будет приводить к отображению ошибки "ERR_CERT_VALIDITY_TOO_LONG".

    В прошлом и позапрошлом годах изменение было выставлено на голосование участниками ассоциации CA/Browser Forum, которая используется как площадка для согласования совместных решений производителями браузеров и удостоверяющими центрами. Ранее производителям браузеров удалось отстоять сокращение времени жизни сертификатов вначале до 8, затем до 5, а потом и до 3 лет. В 2018 году была предпринята попытка сокращения действия до года, но, в конечном счёте, было утверждено компромиссное решение и срок был ограничен двумя годами. В прошлом году попытка повторилась, но решение по ограничению срока действия сертификатов до одного года не было утверждено из-за несогласия большинства удостоверяющих центров. В феврале 2020 года компания Apple решила ввести ограничения без согласования в CA/Browser Forum, в марте к инициативе присоединилась компания Mozilla, а теперь и Google.

    Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

     
    seostock, altblitz and Baskin-Robbins like this.
  2. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,478
    Likes Received:
    2,831
    Reputations:
    231
    А это было забавно, генерировать PGP ключи шифрования, с красивыми буковками, как номера на авто.

    И что ещё?
    Самый красивый PGP ключ, взял и освидетельствовал двумя attache всемирной службы секьюрити Thawte,
    есть этот сертификат на Винде/GNU/Linux и в браузерах вашинских.

    Так и подписывал исходящую почту - сертификатом, пугая девочек собеседниц этим вот СТРАННЫМ ключом пиктограммы))
     
Loading...