Početna / Blog / Post
Mozilla je smanjila životni vijek TLS certifikata na 1 godinu
25 siječnja, 2021 od
Mozilla je smanjila životni vijek TLS certifikata na 1 godinu
Goran Štimac

Mozilla je službeno najavila da od 1. rujna 2020. više neće smatrati valjanima nijednu novoizdanu potvrdu s vijekom trajanja većim od 398 dana ili nešto više od godinu dana.

Programeri preglednika i stručnjaci za sigurnost certifikata već neko vrijeme nastoje smanjiti životni vijek TLS certifikata s 2 godine (825 dana) na 1 godinu (392 dana), ali nisu uspjeli natjerati izdavače certifikata da pristanu na prijedlog.

Kad se izda predložena promjena, o njoj glasaju članovi foruma CA / Browser (CA / B). Ovaj forum sastoji se od izdavača certifikata i potrošača certifikata, poput programera preglednika, a stvoren je da djeluje kao upravno tijelo za izdavanje i upravljanje digitalnim certifikatima.

Nedavno glasanje o prijedlogu za ponovno smanjenje životnog vijeka certifikata na godinu dana nije uspjelo nakon što su izdavači certifikata glasali protiv.

Kako je izvijestio ZDNet, umjesto da udovolji glasanju i dopusti životni vijek certifikata od dvije godine, Apple je jednostrano odlučio zaobići CA / B i više ne smatra da certifikati izdani s dvogodišnjim životnim vijekom vrijede nakon 1. rujna 2020. godine.

Ubrzo nakon toga, i Mozilla i Google objavili su izvješća o greškama ili probleme u kojima navode da ni oni više neće podržavati dvogodišnji životni vijek nakon 1. rujna 2020.

Od tada su se izdavači certifikata nezadovoljno složili slijediti ove nove smjernice, izražavajući svoju frustraciju zbog ove prisilne promjene.

Mozilla je službeno najavila ovu promjenu s obrazloženjem zašto se to radi.

Mozilla i drugi programeri preglednika navode da su ove promjene važne kako bi se osigurala bolja sigurnost:

  • Omogućuje veću okretnost prilikom postupnog ukidanja certifikata kada se ranjivosti otkriju u algoritmima šifriranja

  • Ograničava izloženost web mjesta kompromisima jer bi se privatni ključevi za šifriranje redovito mijenjali. Ako se ukrade privatni TLS certifikat, jednogodišnja valjanost ograničila bi vrijeme koje bi akter prijetnje mogao koristiti.

  • Sprječava davatelje usluga hostinga ili treće strane da koriste certifikat dugo vremena nakon što se domena više ne koristi ili je promijenila davatelja usluga.

Što to znači za vlasnike web stranica?

Ova promjena utječe samo na nove certifikate izdane 1. rujna 2020. ili kasnije.

Ako imate postojeći certifikat s životnim vijekom od dvije godine, tada ova promjena neće utjecati na taj certifikat i možete ga nastaviti koristiti dok ne istekne.

To znači da će, kada certifikat istekne, svi certifikati izdani nakon 1. rujna 2020. vrijediti samo godinu dana.

Ova će promjena povećati administrativne troškove jer će administratori web stranica morati pažljivije paziti na datume obnove jer će njihovi certifikati češće istjecati.

Za tvrtke koje poslužuju više web stranica, ovo bi mogla biti logistička noćna mora dok se ne uvedu automatizirani postupci koji vode računa o ovoj promjeni.