Společnost Apple, která je kromě jiného i vývojářem prohlížeče Safari, omezuje maximální platnost TLS certifikátů, kterým bude ve svých produktech důvěřovat. V tomto článku se dozvíte, proč se tak děje, jaké má toto rozhodnutí důsledky a proč přináší kromě pozitiv i negativa.
Co se změní a proč
Výrobci prohlížečů už delší dobu usilují o zkrácení maximální délky platnosti certifikátů. Tedy doby, na kterou může být certifikát vystaven. Certifikační autority sledují zájem opačný. Oba názorové póly mají své argumenty, které zmíníme v následujících odstavcích.
Frakci prohlížečů se zkrácení dříve nepovedlo uskutečnit. Návrh byl hlasován na půdě CAB fora, kde společně certifikační autority a výrobci prohlížečů stanovují koncenzuální, společná a závazná pravidla pro certifikáty.
I přes tento neúspěch se Apple rozhodl vzít aktivitu do svých rukou a odhodlal se k tomuto jako první. Od 1. 9. 2020 nebude důvěřovat certifikátům, které budou po tomto datu vydány na více než rok (přesně 398 dní).
Ze strany CA DigiCert nemáme v tuto chvíli žádné oficiální informace, že by mělo vydávání dvouletých certifikátů skončit. DigiCert k této věci nevydal žádné stanovisko, a to ani interně pro své největší partnery. Neznáme rovněž reakci žádné další autority, která by tyto tendence, jakkoliv dementovala. I přes to, lze však očekávat, že ke zkrácení maximální platnosti certifikátů dojde ještě letos a změna ovlivní celé odvětví.
Tento předpoklad lze logicky vyvodit ze stavu, kdy by byly dvouleté certifikáty stále vydávány a zákazníci, zejména na americkém trhu (zhruba 20 % uživatelů produktů Apple), by rázem dostali hlášku o nedůvěryhodném certifikátu, kterou není snadné obejít. V českém prostředí není vzhledem k zastoupení uživatelů Applu mezi návštěvníky zas tak velký problém, nicméně s ohledem na to, že prvním iniciátorem zkrácení platnosti TLS byl Google, můžeme očekávat, že se tak opravdu stane a brzdy se i on připojí k Applu.
Důvody pro zkrácení platnosti certifikátu
Hlavním přínosem zkrácené platnosti TLS certifikátů (bavíme se pouze o těchto, nikoliv o jiných typech) je vyšší bezpečnost pro uživatele. Zastánci zkrácení tvrdí, že pokud budou certifikáty vydány na kratší období, tak budou častěji rotovat klíče a sníží se riziko jejich kompromitace (a ty již kompromitované nebudou dále nebezpečné). Toto je relevantní důvod, ale zejména v ideálním světě. Tímto se dostáváme k opačným důvodům.
Důvody proti zkracování platnosti TLS
Nevýhodou kratší platnosti TLS certifikátů je nutnost jejich častější výměny a obecně zvýšení časové náročnosti správy certifikátů. Mnozí zastánci zkrácení zřejmě předpokládají, že PKI infrastruktura je dnes už plně automatizovaná. Možnosti automatizace certifikátů existují. My sami je svým zákazníkům nabízíme, viz ACME protokol na SSLmarketu, nicméně málo z nich ji může využít. I velké korporace či veřejná správa mají správu serverů do velké míry manuální.
Nelze také předpokládat, že každý TLS certifikát je určen pro web. Velký podíl mezi nimi činí například poštovní servery, které se s webovým prohlížečem ani nikdy nesetkají (přesto je ovlivňuje).
Závěr
Jak vidíte, tak existují důvody pro i proti omezování planosti certifikátů. S omezením maximální platnosti na rok se už zřejmě budeme muset smířit. Doufám však, že další zkracování už nenastane.
Na SSLmarketu máte stále možnost získat dvouletý certifikát a ušetřit si práci minimálně s jednou výměnou.
