أجرى مطورو مشروع Chromium تغييرًا يحدد الحد الأقصى لعمر شهادات TLS إلى 398 يومًا (13 شهرًا).
ينطبق الشرط على جميع شهادات الخادم العام الصادرة بعد 1 سبتمبر 2020. إذا كانت الشهادة لا تتطابق مع هذه القاعدة ، فسيرفضها المستعرض على أنها غير صالحة ، ويستجيب بشكل خاص بخطأ
ERR_CERT_VALIDITY_TOO_LONG.
بالنسبة للشهادات المستلمة قبل 1 سبتمبر 2020 ، سيتم الحفاظ على الثقة ويقتصر على 825 يومًا (2.2 سنة) ، كما هي اليوم.
سابقًا ، تم إدخال قيود على الحد الأقصى لعمر الشهادات من قبل مطوري متصفحي Firefox و Safari. كما يدخل التغيير حيز التنفيذ في 1 سبتمبر .
وهذا يعني أن مواقع الويب التي تستخدم شهادات SSL / TLS طويلة الأجل التي تم إصدارها بعد نقطة التوقف ستؤدي إلى حدوث أخطاء في الخصوصية في المتصفحات.
كانت Apple أول من أعلن عن السياسة الجديدة في اجتماع لمنتدى CA / Browser في فبراير 2020 . من خلال تقديم القاعدة الجديدة ، وعدت Apple بتطبيقها على جميع أجهزة iOS و macOS. سيؤدي ذلك إلى الضغط على مديري ومطوري المواقع الإلكترونية للحفاظ على شهاداتهم محدثة.
ناقش Apple و Google ومساهمون آخرون في CA / Browser تقليل عمر الشهادات لأشهر. هذه السياسة لها مزاياها وعيوبها.
الهدف من هذه الخطوة هو زيادة أمان موقع الويب من خلال التأكد من أن المطورين يستخدمون الشهادات بأحدث معايير التشفير ، وتقليل عدد الشهادات القديمة المنسية التي يمكن أن تتم سرقتها وإعادة استخدامها في عمليات التصيد الاحتيالي والهجمات الخبيثة التي تقودها. إذا تمكن المهاجمون من كسر تشفير SSL / TLS ، فستسمح الشهادات قصيرة العمر للأشخاص بالهجرة إلى شهادات أكثر أمانًا في حوالي عام.
تقصير فترة صلاحية الشهادات له بعض العيوب. ولوحظ أنه من خلال زيادة وتيرة استبدال الشهادة ، فإن شركة آبل وشركات أخرى تزيد من صعوبة الحياة بالنسبة لأصحاب المواقع والشركات التي يجب عليها إدارة الشهادات والامتثال.
من ناحية أخرى ، فإن Let's Encrypt والسلطات الأخرى المصدقة تشجع مشرفي المواقع على تنفيذ الإجراءات الآلية لتجديد الشهادات. هذا يقلل من النفقات العامة البشرية وخطر الأخطاء مع زيادة وتيرة استبدال الشهادة.
من المعروف أن تشفيرنا يصدر شهادات HTTPS مجانية تنتهي صلاحيتها بعد 90 يومًا وتوفر أدوات لأتمتة التجديدات. حتى الآن هذه الشهادات تتناسب بشكل أفضل مع البنية التحتية العامة حيث تحدد المتصفحات حدًا أقصى لانتهاء الصلاحية.
تم طرح هذا التغيير للتصويت من قبل CA / Browser Forum ، ولكن لم تتم الموافقة على القرار بسبب اختلاف سلطات التصديق .
النتائج
تصويت الناشرين الشهادة
لـ (11 صوتًا) : Amazon و Buypass و Certigna (DHIMYOTIS) و certSIGN و Sectigo (سابقًا Comodo CA) و eMudhra و Kamu SM و Let's Encrypt و Logius و PKIoverheid و SHECA و SSL.com
ضد (20) : Camerfirma و Certum ( Asseco) ، CFCA ، Chunghwa Telecom ، Comsign ، D-TRUST ، DarkMatter ، Entrust Datacard ، Firmaprofesional ، GDCA ، GlobalSign ، GoDaddy ، Izenpe ، Network Solutions ، OATI ، SECOM ، SwissSign ، TWCA ، TrustCor ، SecureTrust (المعروف سابقًا باسم Trustwave)
Abstained 2 ( ) : HARICA، TurkTrust
شهادة تصويت المستهلك
لـ (7) : Apple و Cisco و Google و Microsoft و Mozilla و Opera و 360
ضد : 0
Abstained : 0
تفرض المتصفحات الآن هذه السياسة دون موافقة المراجع المصدقة.