Форум CA/Browser проголосует за 47-дневные сроки действия сертификатов к 2029 году.

Члены CA/Browser Forum проголосовали за сокращение срока действия сертификатов с текущего одного года до 47 дней, сообщает Computerworld, что возлагает дополнительное бремя на ИТ-специалистов предприятий, которые должны обеспечить их своевременное обновление.

В ходе решения, которое, вероятно, заставит ИТ-отделы более агрессивно использовать сервисы автоматизации веб-сертификатов, Certification Authority Browser Forum (CA/Browser Forum), объединяющее центры сертификации и поставщиков приложений, использующих сертификаты, проголосовало за радикальное сокращение срока действия сертификатов, подтверждающих право собственности на веб-сайты.

Утвержденные изменения, получившие подавляющее большинство голосов, будут поэтапно внедряться до марта 2029 года, когда срок действия сертификатов составит всего 47 дней.

Это спорное изменение обсуждалось в течение более года. Группа аргументировала это тем, что это улучшит веб-безопасность различными способами, однако некоторые утверждают, что у членов группы есть сильный альтернативный стимул, поскольку они заработают больше денег за счет этого ускорения. Хотя группа подавляющим большинством голосов одобрила изменение, не было ни одного голоса против, пять членов воздержались.

Согласно утвержденному голосованию, примерно через год, 15 марта 2026 года, "максимальный срок действия TLS-сертификата сократится до 200 дней, что позволит осуществлять обновление каждые шесть месяцев. Срок повторного использования DCV (Domain Control Validation) сократится до 200 дней". В следующем году, 15 марта 2027 года, "максимальный срок действия TLS-сертификата сократится до 100 дней, что позволит осуществлять обновление каждые три месяца. Срок повторного использования DCV сократится до 100 дней". А 15 марта 2029 года "максимальный срок действия TLS-сертификата сократится до 47 дней, что позволит осуществлять обновление ежемесячно. Срок повторного использования DCV сократится до 10 дней".

Согласно статье, "эти изменения были в основном инициированы Apple", отчасти для обеспечения более эффективной реакции на возможные изменения в криптографии.

Apple также отметила, что этот переход "снижает риск неправильной валидации, масштабы ее распространения и возможности использования неправильно выпущенных сертификатов для негативного воздействия на экосистему и ее участников".