Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Już niedługo kupowanie certyfikatu SSL o ważności > 1 rok nie będzie miało sensu. Safari / Apple ogranicza czas zaufania do certyfikatów.
Trzeba przyznać, że i mnie zaskoczył pewien fakt: wydawałoby się dość niszowa przeglądarka Safari jest obecnie na #2 miejscu w globalnym rankingu popularności:
(choć warto dodać, że sporą część udziału mają tu przeglądarki mobilne – iPhone-y).
W każdym razie począwszy od 1. września 2020, Safari będzie uznawać za nieważne certyfikaty SSL z ważnością powyżej 398 dni:
Starting Sept. 1, Apple’s Safari browser will no longer trust SSL/TLS leaf certificates with validity of more than 398 days.
Ważna uwaga: certyfikaty z długą datą ważności (np. 2-letnie) utworzone przed 1. września 2020 zachowają swoją ważność, zmiana dotknie dopiero tych tworzonych na nowo. Zmianą nie będą też dotknięte certyfikaty root CA.
–ms
Firefox tylko 4,7%. Uuuuuu.czasy świetności za sobą
Bo na każdym Androidzie fabrycznie jest Chrome.
To ogólna statystyka. W „desktopowej” Chrome dalej prowadzi, ale drugi jest Firefox, a trzecie Safari.
Bo większoś c tych chrome pochodzi z telefonów z Androidem i działa tak bezproblemowo, że nikt nie zastanawia się nad swoją prywatnością i doinstalowaniu np. Firefox klar
Jestem laikiem. I mam pytanie: dlaczego? Czemu służy ta zmiana? W jaki sposób podnosi bezpieczeństwo?
Im częściej zmieniasz hasło / certyfikat tym mniejsza szansa że ktoś to złamie. Ale jeśli chodzi o certyfikat to szanse złamiania są bardzo bardzo niewielkie takie małe że dają gwarancję na 10000$
Jest co najmniej kilka powodów:
– wystawiane certyfikaty na bardzo długi czas (np 10 lat) potrafią być hardcodowane, w efekcie czego jakiekolwiek wycieki klucza są katastrofalne
– wychodzi jakaś podatność, to też może nigdy nie być załatana przez to że certyfikat jest gdzieś zahardcodowany
– wychodzi jakiś nowy lepszy standard, wprowadzenie go będzie trwało wiele lat
rotacja certyfikatów/haseł/kluczy asymetrycznych to dobra rzecz, wymuszenie tego na dostawcach żeby to w ogóle robili i przyzwyczaili się, to dobra rzecz dla nas. Mniej sytuacji gdzie certyfikaty są zahardcodowane; mniej sytuacji gdzie wprowadzenie czegoś nowego będzie trwać dekadę. Problem dla tych którzy potrzebują certyfikatów z długą ważnością, bo to automatycznie wymusza zmianę podejścia, co powoduje dodatkowe koszta.
Długi czas życia certyfikatu rodzi problemy w CV przypadku wycieku.
Złodziej może próbować wykorzystać tworzyć własną treść, podpisać ją prawdziwym certyfikatem, następnie postawić na lotnisku hot-spot wifi albo prywatnego btsa i polować na klientów.
Jeżeli wyciek zostanie wykryty, to istnieje co prawda mechanizm odwołania, ale wymaga on połączenia z Internetem i aktywnego używania go.
Jeżeli cert żyje 90 dni i ktoś go ukradnie po miesiącu to ma tylko 60 dni na postawienie infrastruktury i „połowy” potem musi ukraść certyfikat ponownie.
W teorii podnosi bezpieczeństwo ponieważ w przypadku włamania czas życia certyfikatu jest ograniczony.
Dzisiaj u niektórych wiodących „dostawców” certyfikatów EV czas odnowienia to min. tydzień, aby przedrzeć się przez wszystkie procedury (szczególnie jak się ma niektóre usługi u dostawców zew.).
Technicznie banalna rzecz, trwa tydzień – a jak jeszcze nie daj boże osoba niezbędna w tym procesie ma urlop/jest chora to już jest nerwowo.
W praktyce przy tej ilości usług które muszą korzystać z certyfikatów TLS będą 2 opcje:
1. migracja do „dostawców” którzy mają mniej popaprane procedury potwierdzające wiarygodność organizacji
2. Let’s Encrypt – ze względu na automatyzację procesu (ACME).
Opcja 2 – byłaby idealna, ale niestety wiele miejsc wymaga aby był to certyfikat „komercyjny” – bo „bezpieczniejszy”.
Wtedy zostaje opcja 1. I naraz się okazuje, że można zakupić certyfikat EV w którym weryfikacja jest w praktyce na poziomie DV + 1 faks.
Każdy jest szczęśliwy. Tylko, że zatracił się cel całej tej szopki (oprócz ceny). 8]
Czy faktycznie będzie bezpieczniej? Poza specyficznymi przypadkami nie sądzę.
Kontrola, Kontrola, – Wszystkich i wszystkiego. Kiedy i gdzie przystopują, zatrzymają się? Pytanie – Retoryczne? Czy niema od tego Odwrotu?
Tak naprawdę nie ma się o co spinać. Chodzi o zmniejszenia okna na atak jak wycieknie klucz. No bo przecież każdy rotuje klucz jak odnawia certyfikat, prawda? ;)
@Laik, jest to spowodowane tym, że jeśli wycieknie Ci klucz prywatny lub jeśli zostanie złamany to bezpieczeństwo będzie naruszone. W dodatku myślę, że jest to też spowodowane rozwojem mocy oraz możliwości komputerów. Jeśli będziesz miał stary certyfikat podpisany słabym kluczem i kupiony na kilka lat to zwiększa to szansę na złamanie.
Tak ja to widzę, ale jeśli się mylę lub są inne powody to chętnie uzupełnię swoją wiedzę :)