Еще в феврале Apple объявила о планах по усилению защиты HTTPS в Safari, начиная с 1 сентября этого года. Сегодня в новом отчете отмечается, что другие браузеры теперь следуют примеру Apple, но не без споров …
Задний план
Как мы объясняли в то время, Apple будет принимать сертификаты HTTPS только в том случае, если они были выданы в течение последних 13 месяцев.
HTTPS — это безопасная версия стандартного веб-протокола HTTP. Это означает, что связь между пользователем и сервером зашифрована в обоих направлениях.
HTTPS защищает от так называемых атак «человек посередине», когда кто-то создает точку доступа WiFi с невинно звучащим именем, а затем перехватывает весь трафик, проходящий через него. При использовании обычного HTTP весь контент, включая имена пользователей и пароли, будет представлен в виде простого текста. С HTTPS все, что может получить злоумышленник, это бред.
Чтобы браузер подключился к веб-сайту HTTPS, он проверяет наличие на сайте действующего сертификата безопасности. По сути, это является доказательством стороннего аудита о том, что сайт действительно зашифрован.
Сертификаты показывают только то, что веб-сайт использовал новейший стандарт шифрования HTTPS на момент его выпуска, поэтому более ранняя дата выпуска означает больший риск того, что сайт больше не будет использовать последнюю версию безопасности. Существует также опасность взлома сертификата злоумышленниками, что делает его бесполезным; сокращение срока действия сертификата также снижает этот риск.
Safari раньше принимал сертификаты, которые были выпущены до 825 дней назад. Как сообщает TNW, компания сообщает, что с 1 сентября любой сертификат, выданный более 398 дней назад — 13 месяцев, будет отклонен. Это означает, что Safari предупредит вас, что сертификат устарел, и не советует подключаться к сайту.
Переход к усилению защиты HTTPS не приветствуется всеми
ZDNet сообщает, что Mozilla и Google объявили, что они предпримут одно и то же действие в один и тот же день.
После первоначального объявления Apple Mozilla и Google заявили о своих намерениях реализовать одно и то же правило в своих браузерах.
Начиная с 1 сентября 2020 года браузеры и устройства Apple, Google и Mozilla будут показывать ошибки для новых сертификатов TLS, срок службы которых превышает 398 дней.
Тем не менее, хотя это хорошая новость для веб-пользователей, сайт отмечает, что не всем это нравится. Традиционно срок действия сертификатов определяется органом, известным как CA / B Forum, в состав которого входят центры сертификации (CA) — компании, выпускающие сертификаты, — и производители браузеров.
Центры сертификации и браузеры в течение некоторого времени боролись, первые утверждали, что более короткий срок действия создает больше работы для ИТ-компаний, а вторые утверждают, что это безопаснее для веб-пользователей. В прошлом году СА выиграли, а производители браузеров проиграли.
Однако Apple решила действовать в одностороннем порядке, и теперь другие производители браузеров делают то же самое. Это означает, что официальный стандарт двух лет фактически мертв. Один из отраслевых сайтов предсказал это, заявив, что это станет «фарсом» форума по стандартам, поскольку «браузеры в основном будут руководствоваться указом».
