Safari перестанет принимать сертификаты HTTPS, срок действия которых превышает 13 месяцев

Apple решила вступить в борьбу с долговечными сертификатами HTTPS — Safari в конце этого года откажется принимать новые сертификаты ^[1], срок действия которых составляет более 13 месяцев с момента создания. Сайты, которые используют долгосрочные сертификаты SSL/TLS, выпущенные после этого момента, будут вызывать ошибки конфиденциальности в браузере.

С 1 сентября любой новый сертификат веб-сайта, действительный более 398 дней, не будет доверен браузеру Safari и будет отклонен. Однако правило не затронет старые сертификаты.

Новая политика Safari распространится на все устройства iOS и MacOS, то есть затронет миллиарды гаджетов и компьютеров.

Тим Каллан, старший сотрудник Sectigo, управляющей PKI и SSL, сказал The Register: «Сертификаты, выданные до 1 сентября, будут иметь ту же приемлемую продолжительность, что и сегодняшние — 825 дней. Для этих сертификатов никаких действий не требуется».

См. также: «Про PKI «на пальцах» за 10 минут ^[2]

Целью этого шага является повышение безопасности сайтов. Разработчики будут использовать сертификаты с самыми последними криптографическими стандартами, а количество старых и заброшенных сертификатов, которые потенциально могут применять для фишинговых и вредоносных атак, снизится, уверены в корпорации. Если же мошенники или злоумышленники смогут взломать криптографию в стандарте SSL/TLS, то краткосрочные сертификаты обеспечат переход пользователей на более безопасные сертификаты в течение примерно одного года.

Однако мера имеет и свои недостатки — увеличение частоты замены сертификатов усложняет жизнь владельцам сайтов и компаниям.

«Компании должны стремиться к автоматизации, чтобы помочь с развертыванием сертификатов, их обновлением и управлением жизненным циклом, чтобы снизить накладные расходы и риск ошибок при увеличении частоты замены сертификатов», — отметил Каллан.

Let's Encrypt выпускает бесплатные HTTPS-сертификаты, срок действия которых истекает через 90 дней, и предоставляет инструменты для автоматизации продлений. GitHub.com использует двухлетний сертификат, что вступит в противоречие с новыми правилами Apple, хотя он был выпущен до установленного срока. Однако этот сертификат должен быть возобновлен к июню, так что у ресурса еще есть возможность решить проблему. А вот, к примеру, собственный веб-сайт Apple имеет годичный сертификат HTTPS, который необходимо обновить в октябре.

Интересная история с Microsoft — двухлетний сертификат на .com истекает в октябре. Если его продлят еще на два года, то это вступит в противоречие с политикой Safari.

На сайте Digicert, компании, которая специализируется на цифровой безопасности, уже появилась страница ^[3], посвященная новой политике. Пока же сама Apple не сделала публичного объявления по этому вопросу и отказалась комментировать ситуацию.

Ранее Google в рамках усиления политики безопасности в Chrome объявила о переходе ^[4] на использование протокола HTTPS при загрузке файлов. В Chrome 86 в октябре этого года загрузку нельзя будет осуществлять по протоколу HTTP. Это будет возможно только во внутренних сетях, которые необходимо будет настроить по специальной инструкции.

См. также: «Mozilla проиграла в войне браузеров, но всё ещё считает, что может спасти интернет ^[5]

Автор: maybe_elf

Источник ^[6]