
Osud dvouletých TLS certifikátů je definitivně zpečetěn
Máte poslední tři měsíce pro získání dvouletých TLS certifikátů, pak už nebude certifikačními autoritami vydáván. Nikdo ho ani nebude chtít, celé odvětví přejde na jednoroční certifikáty. Důvody této podivné změny, kterou způsobil Apple, najdete v tomto článku!
V září už pouze na jeden rok
Žádný správce webového serveru nebude chtít po 1. 9. 2020 získat certifikát na více než jeden rok a riskovat problémy svých návštěvníků. Stejně tak certifikační autorita nebude chtít riskovat znedůvěryhodnění svých kořenových certifikátů na Apple platformě. Standardem se stane roční TLS certifikát (ostatních typů certifikátů se změna naštěstí netýká).
Před vysvětlením hlavního poselství tohoto článku krátce zmíním způsob rozhodování v PKI odvětví, což je potřeba znát pro ucelený kontext.
Jak funguje regulace PKI odvětví
Certifikačních autorit jsou na světě stovky a často jsou úzce zaměřené na konkrétní PKI řešení. Je tedy logické, že pro vydávání certifikátů jsou potřeba nějaká pravidla, jinak by nastal naprostý chaos. Pro regulaci celého odvětví (a zejména pro definici pravidel vydávání certifikátů) existuje tzv. CA/B forum; kolektivní orgán, který sdružuje právě výrobce prohlížečů a certifikační autority. Scházejí se několikrát ročně, navrhují a přijímají návrhy, které ovlivňují celé odvětví PKI.
CA/B forum v minulosti několikrát výrazně ovlivnilo podobu TLS certifikátů (vděčíme mu za EV certifikáty) a díky tomu ho zná i většina uživatelů důvěryhodných certifikátů. Před deseti lety bylo možné získat certifikát i na 5 let, avšak maximální platnost se neustále zkracuje a nyní je stanovena na 2 roky. Diskuze o dalším zkracování stále pokračují, nicméně dosud byly bez výsledku a dalšího zkracování.
Apple prosadil svou
Neúspěšných pokusů o zkrácení platnosti TLS certifikátů už proběhlo několik a zastánce tohoto omezení najdeme zejména v řadách výrobců webových prohlížečů, k nimž se řadí i Apple. Toho už zřejmě dopálily výsledky posledního demokratického hlasování v CA/B foru (Ballot 22 v 09/2019) a rozhodl se prosadit svůj názor silou.
Apple se rozhodl, že ve svých produktech nebude důvěřovat certifikátům vydaným na více než 398 dní (1 rok + rezerva na obnovu). Účinnost tohoto rozhodnutí je 1. září 2020 a do té doby můžete získat dvouletý TLS certifikát, který bude i po tomto datu řádně fungovat. Pak již ne.
Pokud toto prohlášení vyvolalo naději, že Apple nechá rozhodnutí na uživateli a získání dvouletých certifikátů bude nadále možné, tak to brzy vzalo za své. Americká korporace se totiž rozhodla rozhodnutí prosazovat agresivně a certifikační autority, které po tomto datu vydají certifikát s delší platností, se podle Applu dopustí “policy violation”. To může mít za následek i ztrátu důvěryhodnosti na Apple zařízeních.
To už nenechává žádné pochyby o tom, že dvouleté certifikáty budou u CA ještě k dispozici. Nebudou a je zřejmé, že diskuze o dalším zkracování bude pokračovat. Mozilla například zastává názor, že ideální platnost certifikátu jsou 3 měsíce…
Pozadí rozhodnutí už známe, nyní se pojďme zamyslet jak dopadá na běžného uživatele.
Pozitivní dopady kratší platnosti
Přínosem kratší platnosti certifikátů je vyšší bezpečnost jejich použití a uživatelů. To je hlavní argument zastánců tohoto názoru z řad výrobců prohlížečů.
Výše vyřčené ovšem platí pouze za předpokladu, že při prodlužování a výměně certifikátů dochází k výměně klíčů (tzv. rekey). To nebude zaručeno a zejména v prostředí bez automatizace lze očekávat, že efekt bude právě opačný.
Dalším oblíbeným argumentem příznivců „short-life certifikátů“ je lepší fungování mechanismu revokace certifikátů, které vede k vyšší bezpečnosti uživatele díky rychlejší rotaci odvolaných certifikátů. Jinak řečeno pokud je certifikát kompromitován, tak nemusí ohrožovat uživatele, kteří se musí spoléhat na svůj prohlížeč a jeho kontrolu revokace certifikátu u CA. Takový certifikát relativně brzo „zmizí“ z internetu a problém bude vyřešen bez ohledu na technologie jako CRL a OCSP.
Negativa zkrácení platnosti
Zcela zjevnou nevýhodou zkrácení platnosti certifikátů je jejich častější obměna, kterou většina uživatelů dělá manuálně. Administrativa spojená s udržováním aktivních TLS certifikátů se jednoduše zdvojnásobí.
Výrobci prohlížečů si zřejmě neuvědomují to, že TLS certifikáty se nepoužívají pouze na webových stránkách. Například správci poštovních serverů nemají žádný důvod certifikát po roce měnit. Takových příkladů bychom jistě našli více.
Zcela špatná je fragmentace rozhodování v PKI odvětví. Je nepřípustné, aby konkrétní korporace pro demokratickém nepřijetí svého názoru protlačila tento silou a vzala ostatní jako rukojmí, jako to udělal Apple. Dochází k popření funkce společného konsensuálního orgánu a takové kroky vedou v důsledku ke zmatkům mezi vydavateli i uživateli TLS certifikátů.
Automatizace PKI je nevyhnutelná
Je zjevné, že správa certifikátů se stává stále náročnější a bere administrátorům čas. Instalace certifikátu na server je jednoduchá a rychlá, ovšem pokud ji máte dělat až 8x častěji než nyní (za předpokladu 3M certifikátů), tak se to musí negativně projevit. Naštěstí existují řešení pro automatické získání a instalaci certifikátů – nejznámější z nich je ACME protokol. Ten podporuje i DigiCert a pomůžeme vám ho nasadit.
Pomocí ACME protokolu získáte OV či EV certifikát zcela automaticky a můžete ho svého ACME klienta i nechat nasadit na server. Zcela tak odpadá objednávání následných certifikátů a repetitivní práce administrátora. Pokud nemůžete zatím ACME využít, tak si alespoň zjednodušíte práci díky naší API či automatickému prodlužování certifikátů.
Stále to není ideální řešení pro vás? Nevadí. V SSLmarketu s vámi rádi probereme vaše potřeby a pokusíme se vám pomoci. Našim zákazníkům se snažíme získání a nasazení certifikátu maximálně ulehčit. Díky technologicky progresivní certifikační autoritě DigiCert využíváme nejmodernější technologie a postupy, jejich použití zákazníci pocítí v rychlosti získání certifikátu – většinu z nich vydáme zcela bez čekání.
Podpis: Ing. Jindřich Zechmeister, ředitel ředitel on-line bezpečnosti SSLmarket.cz
Zdroje:
1. COCLIN, Dean. One-Year Public-Trust SSL Certificates: DigiCert’s Here to Help. DigiCert Blog [online]. 2020-05-05 [cit. 2020-06-05]. Dostupné z: https://www.digicert.com/1-year-public-trust-ssl-certificates/
2. COCLIN, Dean. Position on 1-Year Certificates. DigiCert Blog [online]. 2020-02-19 [cit. 2020-06-05]. Dostupné z: https://www.digicert.com/position-on-1-year-certificates/
3. About upcoming limits on trusted certificates. Apple Support [online]. 2020-03-03 [cit. 2020-06-05]. Dostupné z: https://support.apple.com/en-us/HT211025