Публичные сертификаты формата SSL/TLS подверглись существенным изменениям ещё в 2018 году, когда впервые был существенно уменьшен срок их действия (до 825 дней), к 2020 году появилось новое ограничение в 398 дней (13 календарных месяцев). О данных корректировках сообщил форум CA/Browser, который относится к категории добровольных удостоверяющих центров, разработчиков программ и операционных систем. Ранее участники голосовали против подобных нововведений, однако позже мнение было скорректировано за счёт учёта общего числа положительных откликов. Подтвердить подобное решение помогло независимое голосование на GlobalSign на Хабре. В ходе опроса около 70% респондентов высказались за поддержку сокращения срока действия сертификата.
Подобные изменения - далеко не единственный способ новации. Так, к 2021-2022 году пользователей ожидают ещё несколько ключевых модификаций.
Предварительная верификация доменных имён и IP-адресов
1 октября 2021 года в силу вступит корректировка, которая обязывает удостоверяющие центры правильно верифицировать доменные имена не более, чем за 398 дней до момента выдачи актуального сертификата.
В данный момент уже действует ограничение, при котором максимальный период действия сертификата достигает всего 398 дней, однако период повторной проверки различных организаций и доменов оставался прежним (825 дней), поэтому в некоторых случаях, если у домена менялся владелец, то имеющиеся сертификаты продолжали выпускаться предыдущим удостоверяющим центром. Теперь сроки сравняют. Единогласное решение помогло избежать многих спорных моментов.
Так, тот же удостоверяющий центр в лице Let's Encrypt занимается выпуском сертификатов, срок действия которых составляет максимум 90 дней. Повторная Проверка домена реализуется в рекордно короткий срок - 30 дней, поэтому между процессом проверки и окончанием периода действия сертификата проходит не более 4 месяцев. Возможно предположить, что данная отрасль будет активно стремиться к достижению базового уровня Let's Encrypt, однако в конечном итоге она установит ещё более минимальные сроки.
Для чего сокращают сроки действия данных сертификатов?
Поисковая система Google ранее сообщила о том, что желает максимально минимизировать сроки действия SSL-сертификатов. Оптимальный целевой показатель составил 90 дней. Обязательное сокращение потребует от владельцев максимальной автоматизации процессов оформления и выдачи сертификатов.
Сокращение сроков работы сертификатов позволяет отеспечить дополнительную безопасность:
- Защита от ущерба, нанесённого использованием компроментированных ключей
- Поощрение процесса автоматизации.
Запрет на выдачу SAN- и wildcart-сертификатов после проверки одной HTTP в отношении главного домена
1 декабря 2021 года в силу вступят изменения, коснувшиеся методов HTTP-проверки доменов для реализации необходимых мер контроля (сюда относятся согласованные изменения веб-сайта: 3.2.2.4.16, 3.2.2.4.18 и 3.2.2.4.19). Если владелец может свободно разместить файл в определённом месте каталога веб-сайта, то ранее этот фактор считался показателем контроля над доменом. Однако, данный фактор является лишь доказательством контроля над отдельным хостингом, а не над всем пространством внутри текущего домена. Ранее такая особенность позволяла выдавать сертификаты поддоменам, в которых могут располагаться другие организации. С 1 декабря процедура станет невозможной. Для эффективной реализации процесса проверки по HTTP, пользователям придётся проверять каждый из SAN:DNSName по отдельности. Подобное изменение было принято единогласно.
Перемены, касающиеся применения ключей ЕСС
26 июля 2021 года вступили в силу изменения со стороны GlobalSign, которая поменяла процессы применения ключей в действующих сертификатах ECC TLS . Ранее сертификат имел цифровую подпись и отдельное соглашение о ключах, а сейчас - только цифровую подпись.
Удаление самого поля OU
До 31 августа 2022 года будет внесено изменение, которое сильно минимизирует волнения поисковой системы Google. Так, Компания сильно беспокоилась за действующие методики проверки поля OU внутри сертификатов TLS. Ранее пользователи могли смело включать в данный пункт непроверенные данные, идентифицировать которые было невозможно. Специалисты по безопасности настоятельно требовали удалить данное поле. Крайний срок проведения операции назначен на 31 августа 2022 года.
