Η Mozilla ανακοίνωσε επίσημα ότι από την 1η Σεπτεμβρίου 2020, δεν θα θεωρούν πλέον έγκυρα πιστοποιητικά που έχουν εκδοθεί πρόσφατα με διάρκεια ζωής μεγαλύτερη από 398 ημέρες ή λίγο περισσότερο από ένα έτος.
Οι προγραμματιστές προγραμμάτων περιήγησης και οι επαγγελματίες ασφαλείας πιστοποιητικών πιέζαν να μειώθεί η διάρκεια ζωής των πιστοποιητικών TLS από 2 χρόνια (825 ημέρες) σε 1 έτος (392 ημέρες) για κάποιο χρονικό διάστημα, αλλά δεν μπόρεσαν να κάνουν τους εκδότες πιστοποιητικών να ακολουθήσουν αυτή την πρόταση.
Όταν προτείνεται κάποια αλλαγή, ψηφίζεται από τα μέλη του CA / Browser (CA / B) Forum. Αυτό το φόρουμ αποτελείται από εκδότες πιστοποιητικών και καταναλωτές πιστοποιητικών, όπως προγραμματιστές προγραμμάτων περιήγησης(web browsers) , και δημιουργήθηκε για να λειτουργεί ως κυβερνητικός φορέας για την έκδοση και διαχείριση ψηφιακών πιστοποιητικών.
Μια πρόσφατη ψηφοφορία για πρόταση για μείωση και πάλι της διάρκειας ζωής του πιστοποιητικού σε ένα έτος απέτυχε αφού οι εκδότες το καταψήφισαν.
Όπως αναφέρθηκε από το ZDNet, αντί να συμμορφώνεται με την ψηφοφορία και να επιτρέπει τη διάρκεια ζωής του πιστοποιητικού για δύο χρόνια, η Apple αποφάσισε μονομερώς να παρακάμψει το CA / B και δεν θεωρεί πλέον τα πιστοποιητικά που έχουν εκδοθεί με διετή διάρκεια ζωής ως έγκυρα μετά την 1η Σεπτεμβρίου 2020.
Λίγο αργότερα, τόσο η Mozilla όσο και η Google εξέδωσαν αναφορές σφαλμάτων ή ζητήματα που δηλώνουν ότι και αυτά δεν θα υποστηρίζουν πλέον διετή διάρκεια ζωής μετά την 1η Σεπτεμβρίου.
Έκτοτε, οι εκδότες πιστοποιητικών συμφώνησαν αδιαμφισβήτητα να ακολουθήσουν αυτές τις νέες οδηγίες, εκφράζοντας παράλληλα τις απογοητεύσεις τους για αυτήν την αναγκαστική αλλαγή.
Χθες, η Mozilla ανακοίνωσε επίσημα αυτήν την αλλαγή με μια εξήγηση για το γιατί γίνεται.
“We intend to update Mozilla’s Root Store Policy to reduce the maximum lifetime of TLS certificates from 825 days to 398 days, with the aim of protecting our user’s HTTPS connections. Many reasons for reducing the lifetime of certificates have been provided and summarized in the CA/Browser Forum’s Ballot SC22”, ανακοίνωσε χθες η Mozilla .
Η Mozilla και άλλοι προγραμματιστές προγραμμάτων περιήγησης, δηλώνουν ότι αυτές οι αλλαγές είναι σημαντικές για να παρέχουν καλύτερη ασφάλεια καθώς:
- Επιτρέπει μεγαλύτερη ευελιξία κατά τη σταδιακή κατάργηση πιστοποιητικών όταν εντοπίζονται ευπάθειες σε αλγόριθμους κρυπτογράφησης
- Περιορίζει την έκθεση ενός ιστότοπου σε συμβιβασμούς καθώς τα ιδιωτικά κλειδιά κρυπτογράφησης θα αλλάζονταν τακτικά. Εάν ένα ιδιωτικό πιστοποιητικό TLS κλαπεί, η ισχύς ενός έτους θα περιορίσει το χρονικό διάστημα που θα μπορούσε να χρησιμοποιήσει ένας φορέας απειλής.
- Εμποδίζει τους παρόχους φιλοξενίας ή τρίτους να χρησιμοποιούν πιστοποιητικό για μεγάλο χρονικό διάστημα αφού ένας τομέας δεν χρησιμοποιείται πλέον ή έχει αλλάξει πάροχους.
Τι σημαίνει αυτό για τους ιδιοκτήτες ιστότοπων;
Αυτή η αλλαγή επηρεάζει μόνο τα νέα πιστοποιητικά που εκδίδονται από 1η Σεπτεμβρίου 202 και έπειτα. Εάν έχετε ένα υπάρχον πιστοποιητικό με διάρκεια ζωής δύο ετών, τότε αυτή η αλλαγή δεν θα επηρεάσει αυτό το πιστοποιητικό και μπορείτε να συνεχίσετε να το χρησιμοποιείτε μέχρι να λήξει.
Πρόκειται για μία αλλαγή που θα αυξήσει τα γενικά έξδοα των ιστότοπων, ενώ παράλληλα θα κρίνεται αναγκαία η συνεχής παρακολούθηση στις ημερομηνίες ανανέωσης,μιας και τα πιστοποιητικά θα λήγουν πιο συχνά.
