Производители браузеров взяли верх над удостоверяющими центрами

С 1 сентября нынешнего года все основные браузеры – Chrome, Safari и Firefox – будут принимать лишь TLS-сертификаты, срок действия которых не превышает 398 дней. Точнее говоря, сертификаты с более длительным сроком действия, выданные до этой даты, по-прежнему будут приниматься как действительные, но новые сертификаты могут выдаваться лишь не более чем на 398 дней. В противном случае браузеры будут блокировать соединение с ресурсами, использующими такие сертификаты. А если учесть, что перечисленные браузеры используются на подавляющем большинстве устройств, очевидно, что речь идет о новом стандарте всего интернета.

Решение ставит точку в борьбе между производителями браузеров и удостоверяющими центрами – инстанциями, выпускающими сертификаты. Начиная с 2005 года правила выпуска и использования сертификатов определяла организация CA/B Forum, в которую входят представители ведущих удостоверяющих центров. И вопрос сроков действия сертификатов все эти годы оставался камнем преткновения. Разработчики браузеров постоянно требовали их сокращения. Главный их аргумент – забота о кибербезопасности. TLS-сертификат, использованный для киберпреступных действий (распространение вредоносного ПО, фишинг и т.д.), в теории должен незамедлительно отзываться удостоверяющим центром. Но на практике это сложный и запутанный процесс, который редко осуществлялся своевременно. Соответственно, чем больше срок действия сертификата, тем выше вероятность того, что он повторно может быть использован киберпреступниками.

Контраргумент удостоверяющих центров состоит в том, что в современных условиях эти опасения лишены смысла. Существует достаточное количество организаций и проектов, выдающих сертификаты бесплатно, а потому киберпреступникам просто нет нужды повторно использовать однажды скомпрометированный сертификат. Тем не менее, в ходе напряженных переговоров стороны постоянно приходили к сокращению сроков действия сертификатов. Начиная с 2005 года, он был снижен с 8 до 2 лет. Но теперь эпоха переговоров закончена: в феврале корпорация Apple в одностороннем порядке объявила о том, что с сентября браузер Safari будет принимать лишь сертификаты, выданные на срок не более 398 дней. Спустя две недели это решение поддержала организация Mozilla Foundation, стоящая за браузером Firefox. И наконец, в июне к ним присоединилась и корпорация Google, разработчик Chrome. Очевидно, что у удостоверяющих центров просто нет никакого иного выхода, кроме как подчиниться воле разработчиков браузеров.

Источник: ZDNet