Już niedługo kupowanie certyfikatu SSL o ważności > 1 rok nie będzie miało sensu. Safari / Apple ogranicza czas zaufania do certyfikatów.

22 lutego 2020, 13:29 | W biegu | komentarzy 11
Tagi: , ,
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Trzeba przyznać, że i mnie zaskoczył pewien fakt: wydawałoby się dość niszowa przeglądarka Safari jest obecnie na #2 miejscu w globalnym rankingu popularności:

(choć warto dodać, że sporą część udziału mają tu przeglądarki mobilne – iPhone-y).

W każdym razie począwszy od 1. września 2020, Safari będzie uznawać za nieważne certyfikaty SSL z ważnością powyżej 398 dni:

Starting Sept. 1, Apple’s Safari browser will no longer trust SSL/TLS leaf certificates with validity of more than 398 days.

Ważna uwaga: certyfikaty z długą datą ważności (np. 2-letnie) utworzone przed 1. września 2020 zachowają swoją ważność, zmiana dotknie dopiero tych tworzonych na nowo. Zmianą nie będą też dotknięte certyfikaty root CA.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Jacek

    Firefox tylko 4,7%. Uuuuuu.czasy świetności za sobą

    Odpowiedz
    • dsdad

      Bo na każdym Androidzie fabrycznie jest Chrome.
      To ogólna statystyka. W „desktopowej” Chrome dalej prowadzi, ale drugi jest Firefox, a trzecie Safari.

      Odpowiedz
    • marc

      Bo większoś c tych chrome pochodzi z telefonów z Androidem i działa tak bezproblemowo, że nikt nie zastanawia się nad swoją prywatnością i doinstalowaniu np. Firefox klar

      Odpowiedz
  2. Laik

    Jestem laikiem. I mam pytanie: dlaczego? Czemu służy ta zmiana? W jaki sposób podnosi bezpieczeństwo?

    Odpowiedz
    • Marcin

      Im częściej zmieniasz hasło / certyfikat tym mniejsza szansa że ktoś to złamie. Ale jeśli chodzi o certyfikat to szanse złamiania są bardzo bardzo niewielkie takie małe że dają gwarancję na 10000$

      Odpowiedz
    • F

      Jest co najmniej kilka powodów:

      – wystawiane certyfikaty na bardzo długi czas (np 10 lat) potrafią być hardcodowane, w efekcie czego jakiekolwiek wycieki klucza są katastrofalne
      – wychodzi jakaś podatność, to też może nigdy nie być załatana przez to że certyfikat jest gdzieś zahardcodowany
      – wychodzi jakiś nowy lepszy standard, wprowadzenie go będzie trwało wiele lat

      rotacja certyfikatów/haseł/kluczy asymetrycznych to dobra rzecz, wymuszenie tego na dostawcach żeby to w ogóle robili i przyzwyczaili się, to dobra rzecz dla nas. Mniej sytuacji gdzie certyfikaty są zahardcodowane; mniej sytuacji gdzie wprowadzenie czegoś nowego będzie trwać dekadę. Problem dla tych którzy potrzebują certyfikatów z długą ważnością, bo to automatycznie wymusza zmianę podejścia, co powoduje dodatkowe koszta.

      Odpowiedz
    • Długi czas życia certyfikatu rodzi problemy w CV przypadku wycieku.
      Złodziej może próbować wykorzystać tworzyć własną treść, podpisać ją prawdziwym certyfikatem, następnie postawić na lotnisku hot-spot wifi albo prywatnego btsa i polować na klientów.
      Jeżeli wyciek zostanie wykryty, to istnieje co prawda mechanizm odwołania, ale wymaga on połączenia z Internetem i aktywnego używania go.
      Jeżeli cert żyje 90 dni i ktoś go ukradnie po miesiącu to ma tylko 60 dni na postawienie infrastruktury i „połowy” potem musi ukraść certyfikat ponownie.

      Odpowiedz
    • Gal Nie Anonim :]

      W teorii podnosi bezpieczeństwo ponieważ w przypadku włamania czas życia certyfikatu jest ograniczony.

      Dzisiaj u niektórych wiodących „dostawców” certyfikatów EV czas odnowienia to min. tydzień, aby przedrzeć się przez wszystkie procedury (szczególnie jak się ma niektóre usługi u dostawców zew.).
      Technicznie banalna rzecz, trwa tydzień – a jak jeszcze nie daj boże osoba niezbędna w tym procesie ma urlop/jest chora to już jest nerwowo.

      W praktyce przy tej ilości usług które muszą korzystać z certyfikatów TLS będą 2 opcje:
      1. migracja do „dostawców” którzy mają mniej popaprane procedury potwierdzające wiarygodność organizacji
      2. Let’s Encrypt – ze względu na automatyzację procesu (ACME).

      Opcja 2 – byłaby idealna, ale niestety wiele miejsc wymaga aby był to certyfikat „komercyjny” – bo „bezpieczniejszy”.

      Wtedy zostaje opcja 1. I naraz się okazuje, że można zakupić certyfikat EV w którym weryfikacja jest w praktyce na poziomie DV + 1 faks.
      Każdy jest szczęśliwy. Tylko, że zatracił się cel całej tej szopki (oprócz ceny). 8]

      Czy faktycznie będzie bezpieczniej? Poza specyficznymi przypadkami nie sądzę.

      Odpowiedz
  3. Tomasz21

    Kontrola, Kontrola, – Wszystkich i wszystkiego. Kiedy i gdzie przystopują, zatrzymają się? Pytanie – Retoryczne? Czy niema od tego Odwrotu?

    Odpowiedz
  4. Michał

    Tak naprawdę nie ma się o co spinać. Chodzi o zmniejszenia okna na atak jak wycieknie klucz. No bo przecież każdy rotuje klucz jak odnawia certyfikat, prawda? ;)

    Odpowiedz
  5. Diirn

    @Laik, jest to spowodowane tym, że jeśli wycieknie Ci klucz prywatny lub jeśli zostanie złamany to bezpieczeństwo będzie naruszone. W dodatku myślę, że jest to też spowodowane rozwojem mocy oraz możliwości komputerów. Jeśli będziesz miał stary certyfikat podpisany słabym kluczem i kupiony na kilka lat to zwiększa to szansę na złamanie.

    Tak ja to widzę, ale jeśli się mylę lub są inne powody to chętnie uzupełnię swoją wiedzę :)

    Odpowiedz

Odpowiedz