Підбір сертификату |
Термін дії SSL сертифікатівФорум CA/Browser офіційно проголосував за внесення змін до Базових вимог TLS, щоб встановити графік скорочення як терміну дії сертифікатів TLS, так і можливості повторного використання інформації, перевіреної CA, у сертифікатах. Перший вплив голосування на користувачів відбудеться у березні 2026 року. Голосування довго обговорювалося на Форумі CA/Browser і пройшло кілька версій, враховуючи відгуки від центрів сертифікації та їхніх клієнтів. Період голосування завершився 11 квітня 2025 року, закривши один гаряче спірний розділ і дозволивши світу сертифікатів планувати те, що буде далі. Новий графік терміну дії сертифіката TLS - Нове голосування передбачає термін дії сертифіката 47 днів, що робить автоматизацію необхідною. До цієї пропозиції Apple Google просував максимальний термін дії 90 днів, але вони проголосували за пропозицію Apple майже одразу після початку періоду голосування. Ось графік:
Максимальний термін дії сертифіката скорочується: До 15 березня 2026 року максимальний термін дії сертифіката TLS становив 398 днів. Станом на 15 березня 2026 року максимальний термін дії сертифіката TLS становитиме 200 днів. Станом на 15 березня 2027 року максимальний термін дії сертифіката TLS становитиме 100 днів. Станом на 15 березня 2029 року максимальний термін дії сертифіката TLS становитиме 47 днів. Максимальний період, протягом якого можна повторно використовувати інформацію про перевірку домену та IP-адреси, скорочується: До 15 березня 2026 року максимальний період, протягом якого можна повторно використовувати інформацію про перевірку домену, становить 398 днів. З 15 березня 2026 року максимальний період, протягом якого можна повторно використовувати інформацію про перевірку домену, становить 200 днів. Станом на 15 березня 2027 року максимальний період, протягом якого можна повторно використовувати інформацію про перевірку домену, становитиме 100 днів. Станом на 15 березня 2029 року максимальний період, протягом якого можна повторно використовувати інформацію для перевірки домену, становитимн 10 днів. Станом на 15 березня 2026 року, перевірки інформації про ідентифікацію суб'єкта (SII) можна використовувати повторно лише протягом 398 днів, замість 825. SII – це назва компанії та інша інформація, що міститься в сертифікаті OV (перевірено організацією) або EV (розширена перевірка), тобто все, крім доменного імені або IP-адреси, захищеної сертифікатом. Це не впливає на сертифікати DV (перевірено домен), які не мають SII. Чому 47 днів? 47 днів може здатися довільним числом, але це простий каскад: 200 днів = 6 максимальних місяців (184 дні) + 1/2 30-денного місяця (15 днів) + 1 день простору для маневру 100 днів = 3 максимальних місяці (92 дні) + ~1/4 30-денного місяця (7 днів) + 1 день простору для маневру 47 днів = 1 максимальний місяць (31 день) + 1/2 30-денного місяця (15 днів) + 1 день простору для маневру Обґрунтування Apple для змін У голосуванні Apple наводить багато аргументів на користь цих кроків, один з яких найбільше вартий згадати. Вони стверджують, що Форум CA/B роками, постійно скорочуючи максимальні терміни життя, говорив світові, що автоматизація є по суті обов'язковою для ефективного управління життєвим циклом сертифікатів. У голосуванні стверджується, що коротші терміни дії сертифікатів необхідні з багатьох причин, найголовнішою з яких є така: інформація в сертифікатах з часом стає все менш достовірною, і цю проблему можна вирішити лише шляхом частої повторної перевірки інформації. У голосуванні також стверджується, що система відкликання сертифікатів, що використовує CRL та OCSP, є ненадійною. Дійсно, браузери часто ігнорують ці функції. У голосуванні є довгий розділ про недоліки системи відкликання сертифікатів. Коротші терміни дії пом'якшують наслідки використання потенційно відкликаних сертифікатів. У 2023 році CA/B Forum вивів цю філософію на новий рівень, схваливши короткострокові сертифікати, термін дії яких закінчується протягом 7 днів і які не потребують підтримки CRL або OCSP. |