dxdt.blog: занимательный интернет-журнал

Достаточно давно сформировалась тенденция к сокращению срока действия TLS-сертификатов для веба. Let’s Encrypt в следующем году обещает шестидневные сертификаты. То есть, TLS-сертификаты, срок действия которых будет около шести суток (ну, плюс какие-то интервалы в несколько часов, видимо). Цитата:

[…] short-lived certificates. Specifically, certificates with a lifetime of six days. This is a big upgrade for the security of the TLS ecosystem because it minimizes exposure time during a key compromise event. ([…] короткоживущие сертификаты. Точнее, сертификаты со сроком действия шесть дней. Это большое обновление безопасности для TLS-экосистемы, поскольку оно минимизирует время действия уязвимости в случае компрометации ключа.)

Собственно, основная публичная мотивация, стоящая за этим движением – это то, что отзыв сертификатов в TLS для веба и браузеров, фактически, не работает: наладить его так и не удалось. (И с этим – не поспорить.) Ну, понятно, что такой расклад полностью меняет реальность для коммерческих УЦ – от разового выпуска сертификата нужно переходить к предоставлению непрерывного сервиса “обновления” (а в рамках “технологической зависимости” это означает, что нужно реализовывать ACME, который, почему-то, считают “стандартом”).

Кстати, так как браузеры давно допускают только сертификаты, которые действуют не дольше тринадцати с небольшим месяцев, то отдалённо похожая услуга уже есть – “абонемент” на продление годовых сертификатов, чтобы в сумме получилось два или три года. Впрочем, если и браузеры перейдут на шестидневные сертификаты, покупка подобных “абонементов” потеряет смысл.

Это нововведение Let’s Encrypt, не сомневайтесь, прямо означает, что браузеры, следом за Chrome/Chromium от Google, постараются оперативно перейти на короткие сертификаты, запретив срок действия дольше месяца (например).

Адрес записки: https://dxdt.blog/2024/12/16/14387/