Die Chromium-Projektentwickler haben eine Änderung vorgenommen , mit der die maximale Lebensdauer für TLS-Zertifikate auf 398 Tage (13 Monate) festgelegt wird.
Die Bedingung gilt für alle öffentlichen Serverzertifikate, die nach dem 1. September 2020 ausgestellt wurden. Wenn das Zertifikat nicht mit dieser Regel übereinstimmt, lehnt der Browser es als ungültig ab und antwortet speziell mit einem Fehler
ERR_CERT_VALIDITY_TOO_LONG.
Für Zertifikate, die vor dem 1. September 2020 eingehen, wird das Vertrauen wie heute aufrechterhalten und auf 825 Tage (2,2 Jahre) begrenzt .
Zuvor hatten die Entwickler der Browser Firefox und Safari Einschränkungen für die maximale Lebensdauer von Zertifikaten eingeführt. Die Änderung tritt auch am 1. September in Kraft .
Dies bedeutet, dass Websites, die SSL / TLS-Zertifikate mit einer langen Lebensdauer nach dem Grenzwert verwenden, Datenschutzfehler in Browsern verursachen.
Apple war der erste, der die neue Richtlinie auf einer Sitzung des CA / Browser-Forums im Februar 2020 bekannt gab . Mit der Einführung der neuen Regel versprach Apple, sie auf alle iOS- und MacOS-Geräte anzuwenden. Dies wird die Website-Administratoren und -Entwickler unter Druck setzen, sicherzustellen, dass ihre Zertifikate den Anforderungen entsprechen.
Die Verkürzung der Zertifikatslebensdauer wurde seit mehreren Monaten von Apple, Google und anderen CA / Browser-Mitgliedern diskutiert. Diese Politik hat ihre Vor- und Nachteile.
Ziel dieses Schritts ist es, die Website-Sicherheit zu verbessern, indem sichergestellt wird, dass Entwickler Zertifikate mit den neuesten kryptografischen Standards verwenden, und die Anzahl alter, vergessener Zertifikate verringert wird, die möglicherweise gestohlen und für Phishing- und Drive-by-Malware-Angriffe wiederverwendet werden könnten. Wenn Angreifer die SSL / TLS-Kryptografie beschädigen können, können Benutzer mit den kurzlebigen Zertifikaten in etwa einem Jahr auf sicherere Zertifikate migrieren.
Die Verkürzung der Gültigkeitsdauer von Zertifikaten hat einige Nachteile. Es wurde festgestellt, dass Apple und andere Unternehmen durch die Erhöhung der Häufigkeit des Ersetzens von Zertifikaten auch Websitebesitzern und Unternehmen, die Zertifikate und Compliance verwalten müssen, das Leben etwas erschweren.
Auf der anderen Seite ermutigen Let's Encrypt und andere Zertifizierungsstellen Webmaster, automatisierte Verfahren zur Erneuerung von Zertifikaten zu implementieren. Dies reduziert den menschlichen Aufwand und das Fehlerrisiko, wenn die Häufigkeit des Zertifikataustauschs zunimmt.
Wie Sie wissen, stellt Let's Encrypt kostenlose HTTPS-Zertifikate aus, die in 90 Tagen ablaufen, und bietet Tools zur Automatisierung von Verlängerungen. Jetzt passen diese Zertifikate noch besser in die gesamte Infrastruktur - da Browser die maximale Dauer begrenzen.
Diese Änderung wurde vom CA / Browser-Forum zur Abstimmung gestellt, die Entscheidung wurde jedoch aufgrund der Uneinigkeit der Zertifizierungsstellen nicht genehmigt .
Ergebnisse
Zertifikatverleger stimmen ab
Für (11 Stimmen) : Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ehemals Comodo CA), eMudhra, Kamu SM, Verschlüsseln, Logius, PKIoverheid, SHECA, SSL.com
Gegen (20) : Camerfirma, Certum ( Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Netzwerklösungen, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ehemals Trustwave)
enthalten ) : HARICA, TurkTrust
Zertifikat Verbraucherabstimmung
Für (7) : Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Gegen : 0
Enthalten : 0
Browser setzen diese Richtlinie jetzt ohne Zustimmung der Zertifizierungsstellen durch.