Недоверчивая Apple

Safari с 1 сентября этого года перестанет доверять новым SSL-сертификатам, выпущенным более чем на 398 дней, то есть 13 месяцев. Старые сертификаты, то есть выпущенные до 1 сентября, останутся доверенными. И это, разумеется, будет касаться не только десктопного Safari, доля которого невелика, но и iOS, а это пока что преобладающий браузер на iPhone/iPad. Причем, я бы сказал, что в этом смысле это единственный браузер, поскольку остальные представляют собой только UI-оболочку вокруг движка и вряд ли смогут сами решать, какому сертификату доверять.

Резон так делать понятен — чем короче срок действия сертификата, тем меньше шансов, что его успеют скомпрометировать и воспользоваться этим. Кроме того, более частый перевыпуск сертификатов позволит использовать более современные криптотехнологии. Let`s Encrypt вообще выпускает сертификаты на 90 дней и обновлять их не очень напряжно. Правда, в случае расширенной валидации — OV или EV, — это увеличивает нагрузку на сертификационные центры, которые сейчас зачастую стараются заинтересовать покупателей сертификатов в многолетних пакетах — вплоть до 5 лет, и навскидку несложно найти крупные компании, которые такой возможностью пользуются. В тексте упоминаются Github и Microsoft, я могу добавить к списку такую компанию, как Rozetka.ua, уверен, что найти больше несложно.

Subscribe
Сообщать
guest
2 Комментарий
старые выше
новые выше популярные
Inline Feedbacks
View all comments
Ivann

EV сертификаты скорее мертвы чем живы. Google Chrome уже никак не подсвечивает такие сертификаты, следующий будет Firefox.
Давно признано что от них нет толку, только компании, которые их продают, пытаются набивать им цену.