Apple, Mozilla и Google вводит ограничение на срок действия сертификатов SSL / TLS сроком на 1 год 1 сентября 2020 года

Начиная с 1 сентября 2020 года браузер Apple Safari больше не будет доверять сертификатам SSL / TLS, выпущенным на срок более 398 дней, что эквивалентно одному году плюс льготный период продления. Apple сообщила о своих «постоянных усилиях по улучшению веб-безопасности» в объявлении ранее в этом году. Изменение коснулось всей линейки платформ Apple:

Это изменение затронет только сертификаты сервера TLS, выданные корневыми центрами сертификации, предустановленными с iOS, iPadOS, macOS, watchOS и tvOS. Кроме того, это изменение коснется только сертификатов сервера TLS, выпущенных 1 сентября 2020 г. или позднее; это изменение не повлияет на любые сертификаты, выпущенные до этой даты.

Apple немедленно начнет применять это изменение, что означает отказ в подключении к серверам TLS, которые не соответствуют новым требованиям. После объявления Apple участники и Google, и Mozilla предложили свои собственные реализации, ограничивающие срок действия сертификата 398 днями.

Все основные центры сертификации идут в соответствии, меняя свои предложения, чтобы соответствовать новому годовому лимиту. Сюда входит лидер рынка CA IdenTrust, на который приходится примерно 52% сертификатов SSL. DigiCert, центр сертификации, занимающий 20% рынка, опубликовал сухую заметку о соответствии, подчеркнув бремя, которое оно возлагает на пользователей сертификатов:

Почему Apple в одностороннем порядке решила сократить срок действия сертификата? Их представитель сказал, что это сделано для «защиты пользователей». Из предыдущих обсуждений на форуме CA / B мы знаем, что более длительный срок службы сертификатов оказался сложной задачей при замене сертификатов в случае серьезного нарушения безопасности. Apple явно хочет избежать экосистемы, которая не может быстро реагировать на основные угрозы, связанные с сертификатами. Краткосрочные сертификаты повышают безопасность, поскольку они сокращают окно уязвимости в случае взлома сертификата TLS. Они также помогают устранить нормальный отток сотрудников в организациях, обеспечивая ежегодное обновление идентификационных данных, таких как названия компаний, адреса и активные домены. Как и в случае любого улучшения, сокращение срока службы должно быть сбалансировано с трудностями, которые требуются от пользователей сертификатов для реализации этих изменений.

Идея изменения заключается в том, что сертификаты с более коротким жизненным циклом более безопасны, поскольку срок действия скомпрометированных ключей истечет в более короткие сроки. Новый годичный срок действия вынуждает хосты и поставщиков сертификатов сделать автоматизацию приоритетной задачей. Фактически, это одна из причин, по которой бесплатные сертификаты Let’s Encrypt уже имеют короткий 90-дневный жизненный цикл. Он был введен в действие много лет назад, чтобы стимулировать автоматизацию, чтобы более короткие сроки службы были не менее удобны, чем более длинные.

Let’s Encrypt рекомендует подписчикам продлевать подписку каждые шестьдесят дней и может даже подумать о том, чтобы рекомендовать более короткий срок действия, когда инструменты автоматического продления получат более широкое распространение. Это может произойти раньше, чем ожидалось, теперь, когда политика Apple требует изменений во всей отрасли.

Многие пользователи WordPress используют сертификаты Let’s Encrypt с помощью такого плагина, как WP Force SSL & HTTPS Redirect (100 тыс. + Активных установок), SSL Zen (20 тыс. + Установок) или WP Encryption (20 тыс. + Установок). Некоторые плагины имеют встроенное автоматическое обновление, но некоторые предлагают его как часть коммерческого обновления. Другие полагаются на хосты для выполнения обновлений.

Хотя большинству владельцев веб-сайтов не нужно предпринимать никаких действий, более короткий жизненный цикл сертификата может стать проблемой без автоматизированного управления сертификатами. Это также может повлиять на выставление счетов клиентам с различными вариантами, доступными от хостов и центров сертификации. Если вы управляете веб-сайтами для клиентов, сайты которых ранее полагались на сертификаты с более длительным жизненным циклом, вам необходимо настроить автоматическое управление сертификатами, когда изменения вступят в силу.