اپل اسلحه قوی کل CA صنعت به یک سال گواهی دوره

یک تصمیم است که اپل به طور یک جانبه در زمان در ماه فوریه سال 2020 است برای چندمین بار در سراسر مرورگر چشم انداز و موثر قوی-مسلح گواهی اقتدار صنعت به تلخی پذیرش پیش فرض جدید طول عمر از 398 روز برای گواهینامه TLS.

پس اپل اولیه اعلام موزیلا و گوگل اعلام کرده اند مشابه نیت به اجرای همان قانون در مرورگرهای خود را.

با شروع از 1 سپتامبر سال 2020 مرورگرها و دستگاه ها از اپل و گوگل و موزیلا را نشان می دهد خطاهای جدید TLS گواهی که دارای طول عمر بیشتری نسبت به 398 روز است.

CA/B فروم و TLS طول عمر

این حرکت مهم است زیرا آن را نه تنها تغییرات چگونه بخشی از هسته اینترنت کار می کند-TLS گواهی -- اما همچنین به این دلیل آن را می شکند و دور از نرمال شیوه های صنعت و همکاری بین مرورگرها و CAs.

شناخته شده به عنوان CA/B فروم این است که یک گروه غیر رسمی ساخته شده از گواهی مقامات (CAs) شرکت هایی که شماره گواهینامه TLS استفاده می شود برای حمایت از HTTPS ترافیک و نرم افزار.

از سال 2005 این گروه شده است ساخت این قوانین چگونه TLS گواهی صادر می شود باید و چگونه مرورگرهای قرار است برای مدیریت و اعتبار آنها.

مرورگرها و CAs معمولا بحث آینده قوانین تا زمانی که آنها به یک مشترک و پس از آن که تصویب قوانین است که همه کاربران اجرا شده است.

اما در سراسر آن 15 سال سابقه بوده است وجود دارد یک موضوع است که همیشه ژولیده پر هر زمان آن آورده شده است -- و این است که عمر TLS گواهی.

TLS دوره آغاز شده و در مدت هشت سال و از طریق سال های مرورگر سازان رنده شده را در آن و آوردن آن به پنج و سپس به سه و سپس به دو.

قبلی تغییر رخ داده است در ماه مارس سال 2018 زمانی که مرورگر سازندگان سعی در کاهش گواهی SSL دوره از سه سال به یک مصالحه برای دو سال پس از تهاجمی مقاومت مواجه از CAs.

اما به سختی یک سال گذشت از آنها قطع TLS عمر از سه به دو سال و مرورگر سازندگان سعی کردم دوباره به ترس از CAs که در آن نقطه فکر می کردند که به یک مصالحه قرار داده و این موضوع به رختخواب.

به عنوان ZDNet گزارش تابستان گذشته مرورگر فروشندگان سعی کردم دوباره به عمر TLS گواهی از دو به یک سال است. رای دادن به این پیشنهاد که توسط گوگل شکست خورده در سپتامبر 2019. در حالی که این پیشنهاد به دست آورد 100 ٪ پشتیبانی از مرورگر سازندگان تنها 35 درصد از CAs رای به تصویب یک سال TLS certificate طول عمر.

مرورگر فروشندگان ابطال CA/B فروم

اما در فوریه اپل را شکست استاندارد CA/B فروم عامل روش. به جای تماس برای رای اپل به سادگی اعلام کرد تصمیم خود را برای اجرای 398 روز دوره در دستگاه های خود را بدون در نظر گرفتن آنچه CAs CA/B فروم فکر این مسئله است.

دو هفته بعد موزیلا اعلام کرد و در اوایل این ماه گوگل نیز به دنبال از طریق یک شبیه اطلاعیه.

آنچه صورت گرفت در این سال است در هیچ ساده تر کلمات تظاهرات که با نرم افزار کنترل CA/B فروم و آنها که با نگه داشتن کنترل کامل از HTTPS اکوسیستم و CAs صرفا شرکت کنندگان با هیچ قدرت واقعی.

چه اتفاقی افتاد در این سال نیز پیش بینی شده توسط HashedOut یک CA-دوستانه اخبار سایت اختصاص داده شده به CA میباشد.

"اگر CAs رای این اندازه گیری کردن [سپتامبر 2019 رای گیری] وجود دارد یک فرصت مرورگر عمل می تواند به طور یک جانبه و فقط نیروی تغییر به هر حال" این سایت نوشت: در ماه اوت سال 2019 یک ماه قبل از رای گیری.

"که بدون سابقه, اما آن را نیز هرگز اتفاق افتاده در یک موضوع است که به طور سنتی به عنوان همکاران این" به آن اضافه شده است. "اگر آن را ندارد, آن را تبدیل به نمایشگاه بپرسید چه نقطه ای از این CA/B فروم حتی است. چرا که در آن نقطه مرورگرهای اساسا حکم فرمان و کل ورزش فقط می تواند یک کار بیهوده."

چرا فروشندگان مرورگر مراقبت زیادی در مورد کوتاه تر TLS certs

به غیر خودی این همه به نظر می رسد مانند برخی از احمقانه درام بیش از هيچ و یک بازی قدرت. اما یک دلیل وجود دارد که چرا سازندگان مرورگر تحت فشار بوده اند سخت را برای کوتاه تر TLS گواهی.

دلیل اصلی این است که بد TLS گواهی دریافت حدودا کردن سریع تر.

هنجار این است که یک بار TLS certificate مورد آزار قرار گرفته برای فیشینگ و یا دیگر عملیات این گواهی باید لغو توسط CAs.

اما در عمل گواهی لغو شده است ظروف سرباز یا مسافر در سال با چند CAs لغو گواهی در زمان و بد گواهی معتبر باقی مانده برای سال اجازه دادن به بچه های بد برای استفاده و استفاده مجدد از همان cert برای عملیات های متعدد.

مرورگر سازندگان استدلال کرد که با کاهش TLS certificate عمر این گواهی خواهد نامعتبر سریع تر, حتی اگر آنها صادر شده توسط slacking CAs.

علاوه بر این نیز وجود دارد که این موضوع از ترافیک رمزگشایی. در یک نقطه در آینده مرورگر گذاران پیش بینی می کنند که تهدید بازیگران خواهد بود قادر به رمزگشایی ترافیک HTTPS آنها در حال ورود به امروز.

تامین ترافیک با کوتاه مدت گواهی مرورگر سازندگان امیدوارم که به این روند بیشتر منابع فشرده برای حمله است.

CAs شده اند مبارزه در برابر کوتاه تر طول عمر زیرا آنها باور دارند که هیچ یک از این مسائل در واقع تفاوت به عنوان نرم افزارهای مخرب عملیات تمایل به رها کردن TLS گواهینامه های بعد از آنها استفاده می شود یک بار آنها را به خصوص در حال حاضر از آنجا که بسیاری از شرکت های ارائه رایگان TLS گواهی تحت مختلف ارائه می دهد و برنامه های.

کوتاه تر از طول عمر بیشتری ایجاد کار برای این تیم و تغییر استانداردهای صنعت است که آنها باور دارند که باید بدون تغییر باقی می ماند -- به عنوان این است که چگونه استانداردهای قرار است به کار باقی مانده همان نه با هر سال به روز.

با اینحال این موضوع تصمیم گرفته شده است و CAs ابدا راضی که چگونه تمامی مراحل بازی. در مارس سال 2020 جلسه CA/B فروم برخی از CAs ارائه عمومی در پاسخ به اپل تصمیم گیری و بسیاری ندارد یک لحن مثبت.

Actalis گفت که "آن را دوست دارم یا نه" آنها "مجبور به پیروی کنند."

د-اعتماد, دیگر, CA, گفت که آن را بیش از حد مجبور به پیروی از این جدید TLS طول عمر, اما آنها روشن ساخته است که آنها را نمی بینیم "هر گونه امنیت به دست آوردن و یا مزایای دیگر با کوتاه کردن گواهی عمر است."

Telia توصیف کل چیزی به عنوان "یک بار غیر ضروری برای جامعه ما است."

و پاسخ را در همان منفعل-تهاجمی تن از "آره ما آن را انجام دهد اما ما خوشحال در مورد آن."

چه این به این معنی پس از سپتامبر 1 سال 2020?

برای گواهی مقامات: اگر آنها می خواهند گواهینامه TLS موضوع آنها بعد از این تاریخ به رسمیت شناخته شده در اپل و گوگل و موزیلا مرورگر گواهی باید یک عمر است که بیش از 398 روز و یا گواهی صادر خواهد شد خطا و اتصالات خواهد بود کاهش یافته است.

برای صاحبان وب سایت: آنها باید به تمدید گواهینامه TLS سالانه به جای دو سال است.

برای کاربران نهایی: آنها ممکن است بیش HTTPS خطا در مرورگر خود را.