seoit.pl

Certyfikaty SSL a stanowisko Apple

przez · Opublikowane · Zaktualizowane

Jako ludzie potrzebujemy stabilizacji i świętego spokoju. Dlatego czasami pamiętanie o konieczności opłacenia danej usługi wydaje się uciążliwe. Przecież można opłacić niedrogą usługę z góry na dłuższy okres i cieszyć się spokojem. Jednak czy na pewno? Czy jest to też bezpieczne? No, niekoniecznie i do takiego wniosku doszła też firma Apple sprzedająca swoje jedne z najdroższych owoców na rynku.

Problem 2 – letnich okresów obowiązywania

W roku 2020 na spotkaniu grupy CA Browser Forum, która jest między innymi odpowiedzialna za standardy SSL, Apple stwierdziło, że zmienia swoją politykę względem certyfikatów SSL/TL. W efekcie uznało, że certyfikaty wydane na dłużej niż 398 dni po 1 września 2020 nie będą uznawane.

Zmiana może się wydawać kosmetyczna, ale dlaczego te Mollochy uznały, że certyfikaty wydawane na dłużej niż rok (dwu i więcej letnie) są gorsze od tych jednorocznych?

Wszystko zaczęło się od tweeta Deana Coclina (pracownika DigiCert).

Dean Coclin Tweet o certyfikatach SSL

Ale czemu to jest ważne i co to zmienia?

No czemu nie 2 lata lub więcej?

Tendencja do skracania okresów ważności certyfikatów jest dość długa. Począwszy od momentu, gdy ustalono, że maksymalny okres nie może wynosić więcej niż 10 lat a następnie więcej niż 3 lata w roku 2015.

Spytasz dlaczego? Ano powodów jest klika:

  • Organizacja, w ciągu tylu lat może zmienić swoje dane przez co certyfikat jest nieaktualny.
  • Przeglądarki zmieniają swoje polityki rozpoznawalności certyfikatów, i jak je wtedy aktualizować?
  • Zmiany w algorytmach szyfrowania też mają krótsze okresy niż kilkuletnie, jak wtedy tym zarządzać?

A co na to Apple?

Aplle od 1 września 2020 r. skraca maksymalny dopuszczalny okres ważności certyfikatów SSL do 398 dni. Wiernie cytując:

„Po tej dacie połączenia z serwerami TLS naruszające ten wymóg zakończą się niepowodzeniem. Może to spowodować awarie sieci i aplikacji oraz uniemożliwić ładowanie stron internetowych.”

A co na to Google?

Nie ma do tej pory (chyba) oficjalnego stanowiska. Jednak na pewno dostosowują się do tego co się zmienia, ale czy na dobre?

No ale po co te zmiany?

Nie ma co deliberować. Im częściej dane są aktualizowane tym są bardziej wiarygodne. Jeśli co roku trzeba potwierdzić to co się działo lub stan faktyczny to jest to bardziej miarodajne niż kontrole co klika lat (proste prawda). Czy jest to krok wstecz czy do przodu trudno określić. Z jednej strony dbamy o użytkowników, z drugiej pokazuje się, że technologia jest jeszcze ułomna by odpowiednio sprawdzać (ale nie kontrolować człowieka).

Apple i Google a bezpieczeństwo danych

A TY użytkowniku co sądzisz? Wolisz mieć wygodę certyfikacji na lata czy bezpieczeństwo regularnej weryfikacji danych? 😉

Może Ci się również spodoba

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *