Решение CA/Browser Forum: Сокращение срока действия TLS-сертификатов
Ассоциация CA/Browser Forum приступила к реализации плана по сокращению сроков действия TLS-сертификатов. Изначально срок сократится с 398 до 47 дней, если последующие ревизии не внесут изменений. Это также предполагает уменьшение срока повторного использования данных валидации для SAN (Subject Alternative Name) до 10 дней и для не-SAN до 398 дней.
Пошаговое внедрение изменений
Эти изменения будут вводиться поэтапно. К 15 марта 2026 года срок действия сертификатов уменьшится до 250 дней, с 15 марта 2027 года — до 100 дней, и к марту 2029 года установится на уровне 47 дней. Несоответствие новым критериям приведет к ошибке "ERR_CERT_VALIDITY_TOO_LONG" в браузерах, таким образом защищая пользователей от потенциальных угроз.
Поддержка и последствия изменения
Предложение поддержали 29 участников, включая такие компании, как Apple и Google. Воздержались лишь 6. Сокращение сроков сертификатов позволит быстрее адаптироваться в случае угроз безопасности, таких как уязвимости в криптоалгоритмах или компрометация сертификатов. Это уменьшает возможность неправильного использования сертификатов и защищает от фишинга.
Влияние на управление сертификатами
Короткий срок службы сертификатов способствует развитию автоматизированных систем управления, уменьшая зависимость от человеческого фактора. Однако некоторым устройствам, требующим ручного обновления сертификатов, грозят сложности и риски, связанные с устареванием сертификатов. Эти изменения также оказывают давление на удостоверяющие центры, не располагающие API для автоматической выдачи сертификатов.
