Apple, Google и Mozilla с 1 сентября прекращают поддержку TLS-сертификатов со сроком действия более 398 дней

    image

    С 1 сентября 2020 года браузеры и устройства Apple, Google и Mozilla перестанут принимать новые сертификаты TLS, срок службы которых превышает 398 дней. Объединение центров сертификации CA/B Forum выступало против этого шага.

    С 2005 года эта группа разрабатывает правила о том, как должны выдаваться TLS-сертификаты и как браузеры должны работать с ними. Изначально срок службы TLS составлял восемь лет, но за эти годы он снизился сначала до пяти, затем до трех, и, наконец, до двух лет. В марте 2018 года компании пытались сократить срок действия сертификатов сразу с трех до одного года, но из-за активного сопротивления со стороны ЦС решили ограничиться двумя годами. Однако заявления о дальнейшем сокращении этого срока снова зазвучали в 2019 году.

    Однако на этот раз Apple, Google и Mozilla достигли компромисса. Ранее, в феврале, Apple в нарушение стандартной процедуры согласования с CA/B Forum просто объявила о своем решении внедрить 398-дневное ограничение для службы сертификатов на своих устройствах.

    Две недели спустя с аналогичным заявлением выступили в Mozilla. Наконец, в начале этого месяца Google поддержала инициативу.

    Проблема, на которую указывают компании, заключается в том, что после злоупотребления сертификатом TLS для распространения вредоносных программ, фишинга или других операций он должен быть отозван центром сертификации. Однако на практике процесс отзыва был беспорядочным: очень немногие центры сертификации делали это вовремя, в итоге скомпрометированные сертификаты работали годами и могли использоваться злоумышленниками повторно.

    Производители браузеров утверждают, что, если срок службы ненадежных сертификатов TLS сократится, то они будут становиться недействительными быстрее.

    Кроме того, компании ожидают, что со временем хакеры будут пытаться дешифровать трафик HTTPS. Они надеются сделать этот процесс более ресурсоемким для злоумышленников.

    Однако центры сертификации считают, что ни одна из этих проблем на самом деле не имеет значения, поскольку от ненадежных сертификатов TLS, как правило, отказываются после их компрометации, особенно сейчас, когда многие компании предоставляют бесплатные сертификаты. В ЦС отмечают, что сокращение продолжительности жизни просто создает больше работы для IT-групп и меняет отраслевые стандарты, которые, по их мнению, должны оставаться стабильными и не меняться каждый год.

    Несмотря на это, центр сертификации Actalis подтвердил, что «нравится им это или нет», они «вынуждены подчиниться». D-TRUST, другой ЦС, заявил, что также будет вынужден соблюдать требование о новом сроке службы, но дал понять, что не видит «какого-либо усиления безопасности или других преимуществ за счет сокращения срока действия сертификата». В Telia описали ситуацию как «ненужное бремя для сообщества».

    Таким образом, после 1 сентября владельцам сайтов придется продлевать TLS-сертификаты ежегодно. Пользователи же могут столкнуться с ростом числа ошибок конфиденциальности в своих браузерах.
    См. также:

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 28

      –4

      Все чтобы нажиться прикрываясь заботой о безопасности.
      Хреновы сертификаты часто дороже хостинга с доменом вместе взятых при том что 90% сайтов они нафиг не нужны

        +2

        А как же, например, Let's Encrypt?

          –10

          Сайты с ним занижают в поисковой выдаче

            +1
            В какой поисковой выдаче? Можно пример?
              +5

              Это вам продавец элитных сертификатов рассказал?

            +7

            С учетом того, что куча провайдеров вмешиваются в HTTP трафик и пихают туда свою рекламу, https уже нужен буквально всем. Даже дурацкой визитке из полутора страничек. Если, конечно, вы не хотите дать своему провайдеру на ней слегка подзаработать без вашего ведома.

              0
              В целом нет особых проблем и вмешиваться в HTTPS трафик. Положение провайдера по центру итак удобное для mitm-атаки.
              Оставшуюся единственную проблему с «зеленой галочкой в браузере» (о сертификате) — тоже не так уж сложно решить, достаточно провайдеру «интегрироваться» с удостоверяющим центром и нагенерить себе сколько угодно сертификатов. Можно даже этот пункт упростить — просто обязать пользователей установить сертификат провайдера как центр сертификации.
                –1

                Apple, google, Mozilla ведь не находятся только в странах с авторитарным режимом.
                Маловероятно что провайдер в сша будет принуждать установить свой корневой сертификат для митм атак.

                  –1
                  А зачем там устанавливать свой корневой сертификат для митм атак, если это компании местные, которые и так обязаны предоставлять данные по требованию властей?
                  Тут скорее вопрос в том, что у стран с «авторитарным режимом» нет возможности получить такой же доступ к данным пользователей, как у самих США, вот им жизнь и усложняют.
                  +1

                  Попытки обязать устанавливать сертификат в Казахстане (кажется) провалились — слишком много возмущения вызвало.
                  Случаи с генерацией левых сертификатов удостоверяющими центрами бывали, но как только это всплывало — для них это означало полный конец бизнеса, так как их корневые сертификаты тут же удаляли из всех браузеров и ОС. На такое могут пойти спецслужбы ради своих секретных разборок, но вряд ли это по силам обычному провайдеру ради показа копеечной рекламы.

                    0

                    Такое доступно только совету NRO или Internet Governance forum. Спецслужбам это тоже не доступно. Напомню правда про долбанутый DarkMatter. https://www.opennet.ru/opennews/art.shtml?num=51159

              –1
              https://belpost.cc — Фишинговый клон официального сайта Белпочты belpost.by.
              Он с сертификатом Cloudflare, но нифига не безопасный.
                +2

                Сертификаты немного о другом, они не подтверждают, что конкретный сайт — это сайт Белпочты, они лишь подтверждают, что вы действительно находитесь на belpost.cc или belpost.by.


                Это как если показать паспорт на имя Пупкина Василия Борисовича и сказать я президент России, вот мой паспорт, он настоящий как видите. Паспорт лишь подтверждает личность человека, но никак не его должность и место работы.

                  0
                  EV-сертификаты, в теории, как раз и подтверждают, что сайт принадлежит именно указанной компании.

                  На практике, это не работает. Удостоверяющие центры относятся к проверкам крайне поверхностно.
                    +4
                    Ну в данном конкретном случае, что на belpost.by, что на belpost.cc — сертификаты не EV.

                    EV сертификаты есть на www.barclays.co.uk и online.raiffeisen.ru (но не www.raiffeisen.ru).
                      0
                      На практике это работает. И отлично работает. Не зря все кто может, получает EV. Тот дядечка по ссылке восхваляет Safari, что как бы намекает. И вообще этот дядя тот еще тролль. Но что неприятно, тролль эффективный, все браузеры убрали сигнализацию EV…
                    –2
                    Да, именно так. Cloudflare по своей сути делает mitm-атаку (подменяя сертификат и расшифровывая трафик у себя). Поэтому клиенты видят валидный сертификат, смотрят на зеленую галочку в браузере и думаю, что все отлично.
                    Это лишь создает иллюзию безопасности, что является самым плохим вариантом для клиента.
                    HTTPS протокол не имеет средств противодействия mitm-атаке.
                      +1

                      Cloudflare подменяет сертификат для belpost.by? Он лишь выпустил обычный сертификат для belpost.cc, который не требует валидации юрлица, как того требует выдаёт EV сертификатов.

                        0
                        согласен, не прав. В запаре писал коммент. Но все ж к cloudflare я скептически отношусь с их идеей терминации шифрованной сессии. Звучит это довольно странно: для вашей безопасности мы расшифруем все, не доведя шифрованный трафик до вашего сервера :)
                          –1
                          Их идея базируется на том, что они обеспечивают защиту от DDOS и выдачу контета из своих кешей. А для этих нужд необходимо понимать что находится внутри трафика и дешифровывать его. Вы всегда можете от этого отказаться.
                            0

                            Все намного сложнее. Напомню, что на одном IP может быть много доменов (как у Google, Youtube, mail.google.com и т.д.), всё разделяется по SNI. У Cloudlfare любой сервис может быть по любому IP. А еще у них есть 1) Хостинг 2) авторитативные DNS сервера, это разные уровни.

                    +3
                    владельцам сайтов придется продлевать TLS-сертификаты ежегодно
                    И это сподвигнет их автоматизировать процесс, а не попадать постоянно в ситуацию «ой, прошло 5 лет и мы опять прозевали момент, а кто у нас вообще это делал? Как это уволился год назад?!».
                      +1

                      К сожалению, автоматизированные тоже ломаются. В том числе и по тому, что проверки "объявляют устаревшими".

                        0
                        Ещё один повод хотя бы настроить мониторинг свежести сертификатов.
                      +1
                      А во времена let’s encrypt ещё кто-то покупает сертификаты для сайтов? (кроме тех кому нужны EV разумеется)
                        0
                        Есть заказчики, которым не нравится такой же сертификат, как на фишинговых доменах.
                          0
                          А протокол, как на фишинговых доменах, им нравится?
                            0
                            Никуда не деться, хотя некоторые сайты, внедряя расширения ГОСТ, стараются отдалиться и от этого.

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое