Apple объявила, что ее браузер Safari больше не будет принимать новые сертификаты безопасности SSL HTTPS, срок действия которых истекает более чем через 13 месяцев с даты его создания.
С 1 сентября любой новый сертификат веб-сайта, действительный более 398 дней, не будет считаться доверенным в браузере Safari и будет отклонен. Однако более старые сертификаты, выданные до этого срока, были сделаны Apple, не пострадает.
Это создаст дополнительное давление на разработчиков веб-сайтов, поскольку теперь им необходимо абсолютно убедиться, что их веб-страницы соответствуют новым требованиям политики сертификатов безопасности SSL, иначе это приведет к сбою их веб-сайтов на всех браузерах Safari на всех устройствах iOS и macOS.
Цель этой политики – убедиться, что веб-сайты используют новейшие криптографические стандарты, что, в свою очередь, улучшит безопасность веб-сайтов. Однако эта политика Safari, сокращающая срок службы сертификатов безопасности HTTPS, имеет свою отрицательную сторону, поскольку она немного усложнит работу владельцев веб-сайтов, которые время от времени будут иметь дело с получением новых сертификатов.
Даже Firefox находится в той же лиге искоренения слабого стандарта HTTPS, заблокировав его в TLS 1.0, 1.1.
Никаких официальных комментариев по поводу Appleот имени этой новой политики, но Dead Coclin из Digicert выпустил меморандум об этой новой политике, в котором говорится: «Их представитель сказал, что она предназначена для« защиты пользователей ». Из предыдущих обсуждений на форуме CA / B мы знаем, что более длительный срок службы сертификатов оказался сложной задачей при замене сертификатов в случае серьезного нарушения безопасности. Apple явно хочет избежать экосистемы, которая не может быстро реагировать на основные угрозы, связанные с сертификатами ».
Он также добавил: «Краткосрочные сертификаты повышают безопасность, поскольку они сокращают окно раскрытия информации, если сертификат TLS скомпрометирован. Они также помогают устранить нормальный отток сотрудников в организациях, обеспечивая ежегодное обновление идентификационных данных, таких как названия компаний, адреса и активные домены. Как и в случае любого улучшения, сокращение срока службы должно быть сбалансировано с трудностями, которые требуются от пользователей сертификатов для реализации этих изменений ».
