Μετά τις Apple και Google, η Mozilla είναι ο πιο πρόσφατος κατασκευαστής προγραμμάτων περιήγησης που ενημέρωσε τις πολιτικές του, για να μειώσει τη διάρκεια ζωής των πιστοποιητικών TLS (Transport Layer Security).
Μέχρι τώρα τα πιστοποιητικά SSL / TLS έχουν μέγιστη διάρκεια ζωής 825 ημέρες. Ωστόσο σε μια προσπάθεια να διασφαλιστεί καλύτερη προστασία των συνδέσεων HTTPS, οι κατασκευαστές προγραμμάτων περιήγησης, όπως η Apple, η Google και η Mozilla εξετάζουν να μειώσουν αυτή την περιόδου σε 398 ημέρες.
Η πρώτη που προχώρησε σε αυτή την κίνηση ήταν η Apple, η οποία ανακοίνωσε νωρίτερα αυτό το έτος ότι από το Σεπτέμβριο του 2020, τα πιστοποιητικά TLS θα πρέπει να έχουν περίοδο ισχύος έως 398 ημέρες.
«Αυτή η αλλαγή θα επηρεάσει μόνο τα πιστοποιητικά TLS που εκδίδονται από τα Root CAs προεγκατεστημένα με iOS, iPadOS, macOS, watchOS και tvOS. Επιπλέον, αυτή η αλλαγή θα επηρεάσει μόνο τα πιστοποιητικά διακομιστή TLS που εκδίδονται μετά την 1η Σεπτεμβρίου 2020. Τυχόν πιστοποιητικά που έχουν εκδοθεί πριν από αυτήν την ημερομηνία δεν θα επηρεαστούν από αυτήν την αλλαγή», δήλωσε η εταιρεία.
Και η Google ανακοίνωσε τον προηγούμενο μήνα ότι θα ακολουθήσει τα βήματα της Apple για το Chrome, επίσης από την 1η Σεπτεμβρίου 2020. Η εταιρεία θα απορρίπτει πιστοποιητικά που παραβιάζουν την νέα πολιτική της.
Τώρα η Mozilla λέει ότι είναι επίσης έτοιμη να προχωρήσει σε ένα αντίστοιχο βήμα, εξηγώντας ότι η κίνηση αυτή θα έχει πολλά οφέλη για την ασφάλεια και το απόρρητο: τα πιστοποιητικά που χρησιμοποιούν ξεπερασμένους ή αδύναμους αλγόριθμους θα καταργηθούν ταχύτερα, θα υπάρξουν λιγότερες διακοπές και η έκθεση θα μειωθεί. Επιπλέον, ορισμένες επιθέσεις πλαστοπροσωπίας πιθανότατα θα μετριαστούν με αυτόν τον τρόπο.
“Καθώς προετοιμαζόμαστε για την ενημέρωση του root store policy μας, ερευνήσαμε όλες τις αρχές έκδοσης πιστοποιητικών (CA) στο πρόγραμμά μας και διαπιστώσαμε ότι όλες σκοπεύουν να περιορίσουν τις περιόδους ισχύος του πιστοποιητικού TLS σε 398 ημέρες ή λιγότερες έως την 1η Σεπτεμβρίου 2020”, σημειώνει η εταιρεία.
Μέχρι τώρα, η Microsoft είναι η μόνη μεγάλη εταιρεία τεχνολογίας που δεν έχει προχωρήσει ακόμα σε μια αντίστοιχη κίνηση, ωστόσο όπως δείχνουν τα πράγματα θα το κάνει και αυτή.
