Predtým deklarované a doteraz nepresadené obmedzenia platnosti TLS certifikátov sa pomaly stávajú skutočnosťou. Ako prvý sa k tomuto kroku rozhodol Apple. Vo svojich produktoch nebude od 1. 9. 2020 dôverovať certifikátom s platnosťou dlhšou ako rok.
Čo sa deje a prečo
Do 1. septembra 2020 môžete predĺžiť TLS certifikát na 2 roky a bude naďalej v Apple produktoch platiť. Po tomto dátume bude Apple dôverovať len TLS certifikátom s maximálnou platnosťou 398 dní (1 rok a rezerva na obnovu).
Hlavným dôvodom pre obmedzenie platnosti TLS certifikátov je obava o bezpečnosť používateľov a snaha o zvýšenie bezpečnosti; hovorca Apple uviedol, že to robia kvôli „ochrane používateľa“. Tento argument používajú všetci výrobcovia prehliadačov, ktorí sú zástancami čo najkratšej platnosti TLS certifikátov.
Pre pozitívny dopad tejto zmeny je potrebné predpokladať, že všetky certifikáty sa po roku pri obnovení vydajú s novou žiadosťou a na serveri bude vymenený privátny kľúč. U plne automatizovaných PKI ekosystémov to nie je problém a deje sa tak už teraz. Horšie je to u manuálne spravovaných serverov a systémov, kde tento krok určite nezvýši ochotu správcov kľúče meniť. Bežnému majiteľovi webu skôr zvýši náklady na správu a jeho administrátorovi pridá prácu.
Čo bude ďalej?
Vzhľadom na históriu „skracovania certifikátov“ možno očakávať, že skôr alebo neskôr bude platnosť TLS certifikátov skrátená na jeden rok. Výrobcovia prehliadačov sa o to budú usilovať naďalej a majitelia webov budú vo väčšine prípadov voliť istotu v podobe „nerizikového“ certifikátu na rok.
Ak budete zohľadňovať používateľov Apple zariadení a dôsledne dbať na dôveryhodnosť certifikátov v ich zariadeniach (Mac, iPad, iPhone), tak budete naďalej certifikáty predlžovať len na rok. Predĺžiť ich budete môcť len 33 dní pred exspiráciou.
Majitelia TLS certifikátov pre web budú musieť certifikát na serveri meniť rok čo rok. Je vhodné certifikát predĺžiť na dva roky ešte pred 1. septembrom a využiť naposledy túto možnosť; na dôveryhodnosť certifikátu toto vplyv nemá. Správcovia, ktorí TLS certifikáty nepoužívajú pre web (napr. Mailserver), budú touto zmenou zbytočne obmedzení. Výhodou je však to, že overenie nebudete musieť robiť stále znova.
Ako zmena dopadá na zákazníkov?
Hlavnou zmenou bude pre majiteľa certifikátu nutnosť častejšie výmeny. Samotné predlžovanie už nie je problém. Získanie certifikátov sa na rozdiel od predchádzajúcich rokov výrazne zjednodušilo a urýchlilo. Zatiaľ čo predtým bolo nutné vykonávať overenie pre každý certifikát, aj keby ste ho žiadali druhý deň po vydaní zhodného, dnes už DigiCert používa uložené overenie pre firmy a domény. To stačí udržiavať aktívne a certifikát vám bude vydaný obratom bez zbytočného zdržovania.
Ing. Peter Tomaščík
špecialista na bezpečnostné SSL certifikáty, www.sslmarket.sk
