С 1 сентября цифровые сертификаты X. 509 Transport Layer Security (TLS) со сроком действия более 13 месяцев или 398 дней больше не будут выдаваться.
Это меньше, чем существующий срок службы 27 месяцев или 835 дней, и реализуется, несмотря на голосование в сентябре прошлого года членов отраслевого центра сертификации/Форума браузеров, которые выступили против этого шага.
Центры сертификации считали, что сокращение сроков действия сертификатов TLS приведет к проблемам для пользователей, когда дело дойдет до управления более частыми продлениями.
С другой стороны, долгосрочные сертификаты TLS рассматривались поставщиками браузеров как проблема безопасности, если цифровые учетные данные попадут в чужие руки.
В марте этого года Apple решила сократить максимально допустимый срок службы новых сертификатов TLS до 398 дней, выпущенных с 1 сентября 2020 года, несмотря на голосование CA/Browser Forum.
Этот шаг вынудил Сертификационные органы и организации, выступающие против сокращенного времени вейлидности, встать в очередь в мае.
Mozilla и Google, оба сторонники более коротких сроков действия сертификатов TLS, присоединились к Apple в июле этого года и объявили, что они тоже будут действовать только в течение 398 дней.
Существующие сертификаты с 27-месячным сроком действия будут по-прежнему приниматься браузерами до истечения срока их действия.
Существующие сертификаты с 27-месячным сроком действия будут по-прежнему приниматься браузерами до истечения срока их действия.
Помимо ограничения времени воздействия на компрометацию, еще одна причина сокращения срока службы сертификатов TLS заключается в том, что в противном случае они могут пережить владение доменными именами.
Несоответствие в продолжительности жизни означало, что кто-то мог продать свое доменное имя другому лицу или организации и при этом иметь действительный сертификат TLS для него.
В этом случае действительный сертификат TLS может быть использован для атак перехвата «человек посередине».
Сертификаты TLS с альтернативными именами субъектов для доменов также представляли опасность.
Если он больше не принадлежит владельцу учетных данных, сертификаты с уязвимым alt-именем и другими доменами могут быть отозваны, что остановит аутентификацию TLS и безопасную связь для сайта или службы.
