Suicide
29.06.2020, 19:19
Разработчики проекта Chromium внесли изменение (https://chromium.googlesource.com/chromium/src/+/ae4d6809912f8171b23f6aa43c6a4e8e627de784), прекращающее доверие к TLS-сертификатам, время жизни которых превышает 398 дней (13 месяцев). Компании Apple и Mozilla ранее приняли решение ввести аналогичное ограничение в Safari (https://support.apple.com/en-us/HT211025) и Firefox (https://groups.google.com/d/msg/mozilla.dev.security.policy/mz1buYdIy-I/KK3Z3Ao0AwAJ). Ограничение будет действовать только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено (https://chromium.googlesource.com/chromium/src/+/ae4d6809912f8171b23f6aa43c6a4e8e627de784/net/cert/cert_verify_proc.cc) 825 днями (2.2 года). Попытка открытия в браузере сайта с сертификатом, не соответствующим упомянутым критериям, будет приводить к отображению ошибки "ERR_CERT_VALIDITY_TOO_LONG".
В прошлом и позапрошлом годах изменение было выставлено (https://wiki.mozilla.org/CA/Communications) на голосование участниками ассоциации CA/Browser Forum (https://cabforum.org/), которая используется как площадка для согласования совместных решений производителями браузеров и удостоверяющими центрами. Ранее производителям браузеров удалось отстоять сокращение времени жизни сертификатов вначале до 8, затем до 5, а потом и до 3 лет. В 2018 году была предпринята попытка сокращения действия до года, но, в конечном счёте, было утверждено компромиссное решение и срок был ограничен двумя годами. В прошлом году попытка повторилась, но решение по ограничению срока действия сертификатов до одного года не было (https://cabforum.org/2019/09/10/ballot-sc22-reduce-certificate-lifetimes-v2/) утверждено из-за несогласия (https://ccadb-public.secure.force.com/mozillacommunications/CACommResponsesOnlyReport?CommunicationId=a051J000 042AUSv&QuestionId=Q00105,Q00106,Q00107) большинства удостоверяющих центров. В феврале 2020 года компания Apple решила ввести ограничения без согласования в CA/Browser Forum, в марте к инициативе присоединилась компания Mozilla, а теперь и Google.
Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.
28.06.2020
https://www.opennet.ru/opennews/art.shtml?num=53250
В прошлом и позапрошлом годах изменение было выставлено (https://wiki.mozilla.org/CA/Communications) на голосование участниками ассоциации CA/Browser Forum (https://cabforum.org/), которая используется как площадка для согласования совместных решений производителями браузеров и удостоверяющими центрами. Ранее производителям браузеров удалось отстоять сокращение времени жизни сертификатов вначале до 8, затем до 5, а потом и до 3 лет. В 2018 году была предпринята попытка сокращения действия до года, но, в конечном счёте, было утверждено компромиссное решение и срок был ограничен двумя годами. В прошлом году попытка повторилась, но решение по ограничению срока действия сертификатов до одного года не было (https://cabforum.org/2019/09/10/ballot-sc22-reduce-certificate-lifetimes-v2/) утверждено из-за несогласия (https://ccadb-public.secure.force.com/mozillacommunications/CACommResponsesOnlyReport?CommunicationId=a051J000 042AUSv&QuestionId=Q00105,Q00106,Q00107) большинства удостоверяющих центров. В феврале 2020 года компания Apple решила ввести ограничения без согласования в CA/Browser Forum, в марте к инициативе присоединилась компания Mozilla, а теперь и Google.
Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.
28.06.2020
https://www.opennet.ru/opennews/art.shtml?num=53250