Certyfikaty SSL a stanowisko Apple
Jako ludzie potrzebujemy stabilizacji i świętego spokoju. Dlatego czasami pamiętanie o konieczności opłacenia danej usługi wydaje się uciążliwe. Przecież można opłacić niedrogą usługę z góry na dłuższy okres i cieszyć się spokojem. Jednak czy na pewno? Czy jest to też bezpieczne? No, niekoniecznie i do takiego wniosku doszła też firma Apple sprzedająca swoje jedne z najdroższych owoców na rynku.
Problem 2 – letnich okresów obowiązywania
W roku 2020 na spotkaniu grupy CA Browser Forum, która jest między innymi odpowiedzialna za standardy SSL, Apple stwierdziło, że zmienia swoją politykę względem certyfikatów SSL/TL. W efekcie uznało, że certyfikaty wydane na dłużej niż 398 dni po 1 września 2020 nie będą uznawane.
Zmiana może się wydawać kosmetyczna, ale dlaczego te Mollochy uznały, że certyfikaty wydawane na dłużej niż rok (dwu i więcej letnie) są gorsze od tych jednorocznych?
Wszystko zaczęło się od tweeta Deana Coclina (pracownika DigiCert).
Ale czemu to jest ważne i co to zmienia?
No czemu nie 2 lata lub więcej?
Tendencja do skracania okresów ważności certyfikatów jest dość długa. Począwszy od momentu, gdy ustalono, że maksymalny okres nie może wynosić więcej niż 10 lat a następnie więcej niż 3 lata w roku 2015.
Spytasz dlaczego? Ano powodów jest klika:
- Organizacja, w ciągu tylu lat może zmienić swoje dane przez co certyfikat jest nieaktualny.
- Przeglądarki zmieniają swoje polityki rozpoznawalności certyfikatów, i jak je wtedy aktualizować?
- Zmiany w algorytmach szyfrowania też mają krótsze okresy niż kilkuletnie, jak wtedy tym zarządzać?
A co na to Apple?
Aplle od 1 września 2020 r. skraca maksymalny dopuszczalny okres ważności certyfikatów SSL do 398 dni. Wiernie cytując:
„Po tej dacie połączenia z serwerami TLS naruszające ten wymóg zakończą się niepowodzeniem. Może to spowodować awarie sieci i aplikacji oraz uniemożliwić ładowanie stron internetowych.”
A co na to Google?
Nie ma do tej pory (chyba) oficjalnego stanowiska. Jednak na pewno dostosowują się do tego co się zmienia, ale czy na dobre?
No ale po co te zmiany?
Nie ma co deliberować. Im częściej dane są aktualizowane tym są bardziej wiarygodne. Jeśli co roku trzeba potwierdzić to co się działo lub stan faktyczny to jest to bardziej miarodajne niż kontrole co klika lat (proste prawda). Czy jest to krok wstecz czy do przodu trudno określić. Z jednej strony dbamy o użytkowników, z drugiej pokazuje się, że technologia jest jeszcze ułomna by odpowiednio sprawdzać (ale nie kontrolować człowieka).
Apple i Google a bezpieczeństwo danych
A TY użytkowniku co sądzisz? Wolisz mieć wygodę certyfikacji na lata czy bezpieczeństwo regularnej weryfikacji danych? 😉
Kolego, cenie sobie wygodę. I co będziesz później co chwilę miał klikać ? Kupujesz raz na 10 lat i spokój, ale bardziej poważnie to rok-dwa w sumie ok. Bo przez 10 lat to i firma może paść gdzie teoretycznie kupiłeś SSLa i co wtedy ?
Dokładnie tak, nie ma co kupować na aż taki zapas przy dynamicznie zmieniającym się rynku i technologiach.