Společnost Apple na únorovém CAB fóru oznámila, že od 1. září bude vyžadovat ve své bezpečnostní politice maximální platnost certifikátů 398 dní. Tímto oznámením defakto posvětila snahu tvůrců internetových prohlížečů zkrátit co nejvíce platnost SSL certifikátů, která začala už v roce 2018 zkrácením max. platnosti ze 3 let na 2 roky.
Informace na CAB fóru, které se konalo v Bratislavě, prezentoval za Apple Clint Wilson, který je v Apple hlavní osobou pro Apple Root Store Program. Dříve pracoval 6 let pro Digicert, od listopadu 2019 pracuje v Apple.
Nyní se v červenci k této iniciativě přidala také Mozilla vydávající Firefox (Reducing TLS Certificate Lifespans to 398 Days) a samozřejmě ke zkracování přistupuje i Google se svým prohlížečem Chrome.
Nutno podotknout, že snaha tvůrců prohlížečů o zkracování je dlouhodobá. Naposledy se pokoušeli změnu prosadit v hlasování CAB fóra (Ballot SC22 – Reduce Certificate Lifetimes), které však v září 2019 neprošlo. O zamítnutí se postaraly právě certifikační autority, které zkracování odmítaly.
Proč se zkracuje?
Zkrácení doby platnosti umožňuje rychleji reagovat na bezpečnostní hrozby, omezí dobu zneužití uniklých privátních klíčů nebo pokusů o prolomení algoritmů. Může zamezit bezpečnostním problémům spojeným s převodem domény na jiného vlastníka. Současně je snahou vystavování certifikátů co nejvíce automatizovat.
Jaké změny mohou zákazníci čekat?
Majitelé SSL certifikátů vystavených s platností 2 roky mohou zůstat klidní. Pravidlo maximálně 398 dní bude platné pro certifikáty vystavené PO 1. září 2020.
Certifikační autorita Sectigo (dříve Comodo) přestane vydávat 2leté SSL certifikáty od 19. srpna 2020 a začne vydávat pouze jednoroční (až 398 dní) certifikáty.
Společnost DigiCert (certifikáty značek RapidSSL, Thawte, GeoTrust) přestane vydávat 2leté SSL certifikáty od 1. září 2020.
Obnovení SSL certifikátů bude možné ne dříve než měsíc před expirací, dříve bylo možné již 90 dnů předem. Maximální doba pro nový SSL certifikát bude 398 dní (13 měsíců).
CODE signing certifikáty (Certifikáty pro podepisování kódu) nebo S/MIME certifikáty touto změnou nebudou ovlivněny a budou mít stejnou maximální platnost, jakou mají dosud.