Три, два, один, старт одногодичных сертификатов TLS

Форуме CA / Browser (CA / B) в Братиславе, Словакия, Apple объявила, что с 1 сентября недавно выпущенные публично доверенные сертификаты TLS действительны не более 398 дней. Это последовало за долгой историей сообщества CA / B Forum, работавшего над сокращением срока службы сертификатов и повышением безопасности, при этом соблюдая баланс потребностей владельцев бизнеса в переходе на сертификаты с более коротким сроком действия.

Почему Apple в одностороннем порядке решила ограничить срок действия сертификата? Их представитель сказал, что это сделано для «защиты пользователей». Из предыдущих обсуждений на форуме CA / B мы знаем, что более длительный срок службы сертификатов оказался сложной задачей при замене сертификатов в случае серьезного нарушения безопасности. Apple явно хочет избежать экосистемы, которая не может быстро реагировать на основные угрозы, связанные с сертификатами. Краткосрочные сертификаты повышают безопасность, поскольку они сокращают окно раскрытия, если сертификат TLS скомпрометирован. Они также помогают устранить нормальный отток сотрудников в организациях, обеспечивая ежегодное обновление идентификационных данных, таких как названия компаний, адреса и активные домены. Как и в случае любого улучшения, сокращение срока службы должно быть сбалансировано с трудностями, которые требуются от пользователей сертификатов для реализации этих изменений.

Что это значит для пользователей сертификатов? Чтобы Safari доверяла вашему веб-сайту, вы больше не сможете выпускать общедоступные доверенные сертификаты TLS со сроком действия более 398 дней после 30 августа 2020 г. Любые сертификаты, выпущенные до 1 сентября 2020 г., будут по-прежнему действительны, независимо от того. срока действия (до 825 дней). Сертификаты, не пользующиеся всеобщим доверием, могут быть распознаны до максимального срока 825 дней.

Ответ DigiCert

DigiCert соглашается с тем, что более короткие сроки жизни помогают повысить безопасность экосистемы и обладают инструментами, необходимыми для помощи нашим клиентам в автоматизации процесса жизненного цикла сертификатов. Они поддерживают краткосрочные сертификаты, срок действия которых составляет всего несколько часов для клиентов с расширенными возможностями автоматизации. Кроме того, платформа CertCentral включает возможность планировать и автоматизировать замену сертификатов EV, OV и DV. Используя CertCentral, администраторы могут воспользоваться преимуществами непрерывного обнаружения, уведомлений об обновлении, тщательной интеграции API и документации, а также поддержки уровней оркестровки. CertCentral также позволяет осуществлять многолетние покупки для беспрепятственного планирования и круглосуточную глобальную поддержку, обеспечивая лучший опыт в отрасли.

Поскольку сроки действия сертификатов продолжают сокращаться, автоматизация станет обязательной для способности организаций управлять более коротким сроком службы. DigiCert подготовлен с использованием самых передовых и надежных инструментов в отрасли, чтобы помочь нашим клиентам предпринять необходимые шаги для более широкого использования автоматизации. GoGetSSL будет внедрять CertCentral API до 20 марта 2020 года.

Ответ SECTIGO

Sectigo понимает преимущества более коротких жизненных циклов сертификатов и поддерживает их. Однако они также знают, что введенное в настоящее время двухлетнее ограничение уже повлияло на реселлеров SSL, а также на бизнес, вызвав трения пользователей, снизив средние цены продажи (ASP) и отрицательно повлияв на общий доход. Этот новый отраслевой стандарт еще больше повлияет на доходы партнеров.

Sectigo предвидела это изменение и представила решения, помогающие партнерам поддерживать и даже увеличивать ASP, а также сохранять более 30% годового дохода, который подвергается риску из-за сокращенного срока службы сертификатов.

Владельцам сайтов нужно подготовиться

Центры сертификации должны будут обеспечить выпуск сертификатов сроком на один год после 1 сентября. Это связано с тем, что Apple будет рассматривать любые сертификаты, выданные из корневых источников на их платформе, действительные более 398 дней, как «нарушение политики», что означает, что центры сертификации могут столкнуться с дисциплинарными взысканиями. от Apple. Такое действие может быть таким незначительным, как предупреждение, или столь же значительным, как недоверие CA. Центры сертификации используют корневые сертификаты, общие для всех браузеров, для выдачи сертификатов TLS. В противном случае пользователи столкнулись бы с ошибками при доступе к веб-сайтам из разных браузеров.

Владельцы веб-сайтов, которые в настоящее время используют двухлетние сертификаты веб-сайтов, смогут получить только годовые сертификаты с 1 сентября. Любые сертификаты, действующие в настоящее время в течение двух лет и выданные до 1 сентября, останутся действительными.

Решение по подписке SSL

Отличные новости для рынка SSL! Сейчас большинство сертификатов SSL доступны для планов подписки на 2, 3, 4 и 5 лет . Из соображений безопасности ваш сертификат изначально будет выдан со сроком действия не более 13 месяцев. До истечения срока действия мы свяжемся с вами, чтобы заменить ваш сертификат на другой сертификат максимальной продолжительности. Это позволяет получать отличные многолетние скидки.