Hlavní navigace

Zkrácení platnosti certifikátů na 13 měsíců se nekoná, autority jsou proti

Petr Krčmář

V rámci CA/Browser Fóra proběhlo hlasování, ve kterém byli všichni tvůrci prohlížečů pro, ale většina autorit hlasovala proti. Přesto některé zkrácení chystají. Od listopadu budou vydávat certifikáty na 397 dnů.

Doba čtení: 3 minuty

Sdílet

Dnešních 825 dnů

Téma zkracování délky platnosti certifikátů zní komunitou už několik let. Kratší platnost znamená rychlejší obnovování a tím pádem i možnost rychlejší reakce na případné změny pravidel zohledňující aktuální bezpečnostní situaci.

K poslední změně v této oblasti došlo na začátku minulého roku, kdy se maximální doba platnosti zkrátila na 825 dnů z původních 39 měsíců. O této změně hlasovali členové CA/Browser Fóra už na začátku roku 2017 a v původním návrhu Ryan Sleevi z Google navrhoval razantní omezení na 398 dnů – tedy na pouhý rok a měsíc. O návrhu hlasovalo 25 autorit, ale pro byla jen jediná: Let's Encrypt. Tato otevřená autorita totiž od začátku vydává certifikáty jen na tři měsíce a její názor je v tomto ohledu naprosto jasný.

Pro upravenou variantu pak hlasovaly všechny zúčastněné strany, takže dnes může mít nově vystavený certifikát platnost přibližně dva a čtvrt roku. Snahy o další zkracování tím ale nebyly umlčeny, naopak se nyní zdá, že se blíží chvíle, kdy dojde k další změně. Ať už v pravidlech nebo v dobrovolném přístupu některých autorit.

Proč zkracovat

Důvodů ke zkracování platnosti vystavovaných certifikátů je cela řada. Při neexistující spolehlivé metodě revokace to například umožňuje rychleji zneplatnit certifikát k uniklému privátnímu klíči. Zároveň vám to umožňuje rychleji klíče rotovat a vyměnit například použité algoritmy za bezpečnější.

Od května loňského roku také musejí být všechny nově vystavené certifikáty alespoň ve dvou databázích Certificate Transparency. Jenže co když během životnosti certifikátu bude některá z databází diskvalifikována a prohlížeče přestanou její potvrzení považovat za dostatečné? Hrozí pak, že budou zneplatněny i certifikáty, jejichž běžná doba platnosti ještě nevypršela.

Dále to nutí správce věci automatizovat, nikdo nechce ručně měnit certifikát každé dva měsíce. To opět zlepšuje bezpečnost, protože to dovoluje automatizovaně a pravidelně reagovat na měnící se bezpečnostní situaci. Let's Encrypt tento přístup razí už několik let a zdá se, že i někteří další to vidí podobně.

Návrh: zkraťme na 397 dnů

Po necelých dvou letech se v CA/Browser Fóru opět objevil návrh na zkrácení, tentokrát na 397 dnů. Tedy přibližně třináct měsíců. Jeho předkladatelem je opět Ryan Sleevi, který svůj návrh obhajuje stejnými argumenty.

Hlasování probíhalo týden a skončilo 9. září v podvečer. Výsledky můžete vidět v mailing listu a výtah jednotlivých hlasů pěkně shrnuje Scott Helme, který zveřejnil také podrobný rozbor celého hlasování. Návrh nakonec nebyl přijat. Pro by musely být dvě třetiny autorit a alespoň polovina tvůrců prohlížečů.

Přesto je velmi zajímavé nahlédnout do čísel. Všichni zástupci tvůrců prohlížečů byli pro. Z certifikačních autorit naopak pro hlasovala jen jedna třetina.

Většina certifikačních autorit to vysvětluje tím, že si to nepřejí jejich zákazníci. Zástupce autority GoDaddy například tvrdí, že podle průzkumu mezi klienty drtivá většina netuší, že v této oblasti existují nějaké automatizační nástroje a hlasovali by proti. Důvodem prý je, že by častější obnovy způsobily větší výdaje: lidské, finanční i časové.

Někteří zkrátí či už zkrátili

Přestože jde o zamítnutí změn závazných pravidel, výsledek přeci jen něco napovídá. Významně se změnil postoj velké části autorit k otázce dalšího zkracování. Zatímco před rokem a půl byla pro jen jedna, dnes je to už třetina. Zdá se tedy, že trend je stanoven, jen ještě nedozrál čas pro další změnu.

Druhá zajímavá informace se objevila na pozadí samotného hlasování. Logius PKIoverheid hlasovala pro zkracování a zároveň oznámila, že bez ohledu na výsledek změní svá pravidla dobrovolně. Od 1. listopadu už nebude vydávat certifikáty na dobu delší než navrhovaných 397 dnů.

Navíc není jediná, protože Andrew Ayer ze společnosti SSLmate připomněl, že je to právě pět let, co firma přestala vydávat certifikáty s platností delší než rok. Díky automatizaci celého procesu získávání a nasazování certifikátu to není problém, uživatel platí předplatné a v rámci něj si pak pravidelně nechává automatem generovat nové certifikáty.

Ostatně úplně stejně funguje i autorita Let's Encrypt, která od začátku vystavuje certifikáty na tři měsíce a netají se tím, že by do budoucna tuto dobu ráda zkracovala. Jelikož jde o jednoznačně nejpoužívanější certifikační autoritu, která má v současnosti 100 milionů platných certifikátů, je jasné, kdo v tomto ohledu udává trend. Když sto milionům serverů nevadí omezení na tři měsíce, proč by mělo být do budoucna překážkou omezení na jeden rok.