Починаючи з 1 вересня, браузер Safari Apple більше не буде довіряти сертифікатам SSL / TLS, термін дії яких перевищує 398 днів. (Це еквівалент однорічного сертифіката плюс пільговий період поновлення).
Apple оголосила про своє рішення на зустрічі 19 лютого на форумі CA / Browser (CA / B Forum), що складається, головним чином, з органів сертифікації та декількох основних браузерів.
Хоча ніде не було офіційної заяви, про це повiдомили тi, хто був присутнiй на зустрічі. Хороша новина полягає в тому, що ця зміна насправді не стає сюрпризом, й індустрія SSL готова до цього – тому не буде ніяких серйозних впливів на клієнтів чи постачальників послуг.
Тім Каллан із Sectigo розмістив цю iнформацiю на своїй сторінці LinkedIn
Отже, що саме вiдбувається? І, що ще важливіше, що це означає для вас, користувача чи продавця сертифікатів SSL / TLS? Чи є коротший термін дії позитивним фактом?
Ідея тут полягає в тому, що чим коротший термін дії сертифіката SSL / TLS, тим безпечніший сертифікат. Адже поновлення сертифікатів SSL / TLS через коротший період сприяє таким факторам:
– коли якісь оновлення безпеки сертифікатів здійснюються, вони швидше розгортаються
– це теоретично робить веб-сайти більш безпечними, забезпечуючи регулярне генерування нових ключів
Ранiше сертифікати SSL / TLS мали максимальний термін дії п’ять років (для валiдованих сертифікатів домену та організації). Згодом термін дії сертифікату зменшився до максимум трьох років, а пізніше обмежився двома роками для всіх SSL / TLS.
Минулого року Раян Слєві від Google представив бюлетень для голосування на CA/B Forum, який вимагав однорічного терміну дії сертифікатів SSL / TLS. Ініціатива вiд Google зазнала невдачі, але схоже, що Apple перехопила цю iнiцiативу.
Що це означає для вашого веб-сайту та клієнтів
Safari – один з двох провідних веб-браузерів в Інтернеті. W3Counter вважає, що частка ринку браузерів Safari становить 17,7% станом на січень 2020 року. Це відстає лише від Google Chrome (58,2%) та випереджає Microsoft Internet Explorer та Edge (7,1%).
Що потрібно знати адміністраторам сайтів
По суті, на будь-які сертифікати SSL / TLS, видані до 1 вересня 2020 року, ця зміна не впливає. Вони залишатимуться дійсними (забороняючи будь-які непов’язані ануляції сертифікатів) протягом усього дворічного періоду, і їх не потрібно буде змінювати чи замінювати. Однак будь-які сертифікати, які видаються 1 вересня або після нього, потрібно буде поновлювати щороку, щоб Safari залишався довіреним.
Це означає, що треба буде впорядкувати та вдосконалити існуючі практики управління сертифікатами. Великi організації це спонукає на пошук надійного рішення щодо управління сертифікатами, щоб більше не покладатися на ручне управління.
Що потрібно знати торговельним посередникам
Ви можете продовжувати видавати дворічні сертифікати до 31 серпня 2020 року, якими можуть користуватися ваші клієнти до їх закінчення. Однак будь-які сертифікати, які ви видаєте після цієї дати, повинні бути видані з річним терміном дії, щоб залишатись дійсними для Сафарі.
Це означає, що будь-які дворічні сертифікати, які ви продаєте, потрібно буде повторно видавати через рік, щоб вони надалі були довіреними для браузеру.
Нова опція: SSL багаторічна підписка
На щастя, провідні гравцi ринку вирішили створити нові параметри автоматизації життєвого циклу сертифікатів та плани передплати, які полегшать управління сертифікатами для коротших життєвих циклів сертифікатів.
Деякі органiзацiї оголосили про новий варіант придбання / впровадження SSL. Sectigo вже розробив свій план передплати на SSL, а DigiCert розгорне свої багаторічні плани до вересня. Завдяки цим багаторічним підпискам на основі послуг SSL веб-майстри зможуть купувати покриття на довші періоди та випускати сертифікат стільки разів, скільки потрібно, з максимально дозволеним терміном дії.
У цього варіанта є кілька переваг:
– Вартість: це дозволяє клієнтам продовжувати отримувати багаторічну знижку, що дозволяє економити гроші
– Клієнти придбають передплату лише один раз і не будуть турбуватися про неї знову протягом п’яти років
Таким чином, клієнти можуть придбати SSL-покриття на тривалий період часу (наприклад, 5 років), а потім просто переоформляти сертифікат щороку, щоб оновити його – заощаджуючи гроші та час. Це звучить як виграш для всіх.
Що далі
Після того, як хтось почав робити цi кроки, скорiш за все, всі iншi змінять свої сертифікати від двох років до року. Сподіваємось, цей перехід матиме запланований ефект – підвищення безпеки веб-сайту та покращене управління сертифікатами.
Джерело: thesslstore.com