Czas ważności certyfikatów SSL ograniczony do 39 miesięcy

Czas ważności certyfikatów SSL ograniczony do 39 miesięcy

Od 1 kwietnia nie kupimy już certyfikatu SSL z okresem ważności dłuższym niż 39 miesięcy. A przynajmniej nie zrobimy tego w Urzędzie Certyfikacji (ang. Certificate Authority – CA), który deklaruje zgodność z wymaganiami CA/Browser Forum Baseline Requirements.

Patrząc jednak na listę obecnych członków Forum można przyjąć pierwsze zdanie tego wpisu za pewnik.

Z 60 do 39 miesięcy

Zgodnie z wymaganiami dokumentu Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates od 1 kwietnia bieżącego roku CAs nie będą mogły wystawiać certyfikatów SSL na okres ważności dłuższy niż 3 lata i 3 miesiące. Obecne zapisy pozwalają na wykorzystywanie certyfikatów SSL z aż 5-letnim czasem ważności.

Wiele CAs przyzwyczaiło nas do tego, że maksymalny czas ważności certyfikatów SSL, które oferują to 3 lata. Nowe ograniczenie nie powinno więc wywołać dużego zaskoczenia wśród użytkowników.

W przypadku certyfikatów wydanych przed 1 kwietnia, których czas ważności przekracza 39 miesięcy, nic się nie zmienia. Będą mogły nadal być używane. Warto pamiętać jedynie, że w momencie odnowienia czas ten zostanie skrócony zgodnie z nowymi wytycznymi.

Po co i dlaczego akurat 39 miesięcy?

Okres 39 miesięcy okazał się być idealnym kompromisem pozwalającym na zachowanie wygody użytkowania, przy jednoczesnym utrzymaniu wysokiego poziomu bezpieczeństwa. Wymiana certyfikatów maksymalnie co 3 lata nie powinna być dużym utrudnieniem dla administratorów, a pozwoli na bycie w zgodzie z dobrymi praktykami dotyczącymi zarządzania certyfikatami klucza publicznego.

Skrócenie maksymalnego czasu ważności certyfikatów SSL niejako wymusza na użytkownikach częstszą weryfikację swoich certyfikatów, co pozwoli utrzymywać im wysoki poziom bezpieczeństwa systemów (przynajmniej w kwestii zarządzania certyfikatami SSL). Dzięki wprowadzonej zmianie, użytkownicy będą bardziej świadomi w kwestii posiadania wyłącznej kontroli nad kluczem prywatnym. Porównać można to do polityki zarządzania hasłami. Im częściej zmieniamy hasła tym trudniej je złamać. Podobnie jest z kluczami. Im dłużej wykorzystujemy ten sam klucz, tym potencjalny atakujący ma większe szanse na jego odgadnięcie.

Jak mogę sprawdzić okres ważności swojego certyfikatu?

Informacja o okresie ważności certyfikatów SSL, podobnie jak innych certyfikatów (Code Signing, S/MIME) zapisana jest w polu Validity (Ważność). Pole to zawiera dwie daty: notBefore i notAfter. Pierwsza z nich zawiera datę początku ważności certyfikatu, druga wskazuje moment jego wygaśnięcia.

Data początku ważności certyfikatu

Data początku ważności certyfikatu

Data końca ważności certyfikatu

Data końca ważności certyfikatu

Daty te, a szczególnie datę końca ważności certyfikatu, warto kontrolować z uwagi na bezpieczeństwo użytkowników swoich systemów, ale także ze względów wizerunkowych. Sytuacja w której przeglądarka informuje użytkownika, próbującego zalogować się do naszego serwisu, o nieważnym (wygasłym) certyfikacie może nie być przez niego dobrze odebrana.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *