Недоверчивая Apple

Safari с 1 сентября этого года перестанет доверять новым SSL-сертификатам, выпущенным более чем на 398 дней, то есть 13 месяцев. Старые сертификаты, то есть выпущенные до 1 сентября, останутся доверенными. И это, разумеется, будет касаться не только десктопного Safari, доля которого невелика, но и iOS, а это пока что преобладающий браузер на iPhone/iPad. Причем, я бы сказал, что в этом смысле это единственный браузер, поскольку остальные представляют собой только UI-оболочку вокруг движка и вряд ли смогут сами решать, какому сертификату доверять.

Резон так делать понятен — чем короче срок действия сертификата, тем меньше шансов, что его успеют скомпрометировать и воспользоваться этим. Кроме того, более частый перевыпуск сертификатов позволит использовать более современные криптотехнологии. Let`s Encrypt вообще выпускает сертификаты на 90 дней и обновлять их не очень напряжно. Правда, в случае расширенной валидации — OV или EV, — это увеличивает нагрузку на сертификационные центры, которые сейчас зачастую стараются заинтересовать покупателей сертификатов в многолетних пакетах — вплоть до 5 лет, и навскидку несложно найти крупные компании, которые такой возможностью пользуются. В тексте упоминаются Github и Microsoft, я могу добавить к списку такую компанию, как Rozetka.ua, уверен, что найти больше несложно.