Vlákno názorů k článku
Mozilla také zkrátí platnost HTTPS certifikátů na jeden rok
od ST - Proč tak dlouhá platnost? Co kdyby se výrobci...
-
Proč tak dlouhá platnost? Co kdyby se výrobci prohlížečů domluvili a zkrátili platnost certifikátů na 30 dní. Nebo možná ještě lépe v zájmu bezpečnosti na celých 30 minut.
Mimochodem, když jde o bezpečnost - možná vývoj nesleduju zas tak důkladně, ale zaťím jsem, neviděl prohlížeč, který by po zadání url bez protokolu nejprve zkusil https a teprve když by nedostal odpověď, šel by na http. Zatím se to řeší přes servery, kdy na něm musí běžet nebezpečné http jenom kvůli tomu, aby se vygeneroval přesměrování na https. Přímo na http by prohlížeč šel pouze při výslovné zadání protokolu http. Odpadl by pak celý opruz s hsts a celý svět by byl vesele bezpečnější.
Jediné, co je nedostatek https, že už neplatí, že se internet nechá prohlížet čímkoli (jakýmkoliv prohlížečem).
-
Existují i návrhy na takto dramatické zkrácení platnosti certifikátů, zatím jsme u jednoho roku a velmi pravděpodobně budeme zkracovat dál. Uvidíme, kam až dojdeme.
Prohlížeče zatím jako výchozí používají HTTP na portu 80, ale v dlouhodobém plánu je tu logiku otočit a mít jako výchozí HTTPS na portu 443.
Už teď je možné si to u svého webu obrátit pomocí hlavičky HSTS, která prohlížeči řekne, že na daném webu se používá jen HTTPS.
-
J ouda (neregistrovaný)
Ona situace, kdy prohlížeče z vysoka ignorují všechny revokační mechanismy a následně to "řeší" nejhorším možným způsobem, tedy zkracováním platnosti certifikátů, je docela nešťastná. Kdyby vymysleli něco rozumnějšího. Možná neignorovat alespoň OSCP stappling, možná když si nechtějí prodlužovat load time stránky, tak checkovat CRL/OSCP paralelně s načítáním stránek + cachování výsledků (session cookina nejspíš neuteče, pokud web při kompromitaci klíče všechny zneplatní a v budoucnu už je revokace nacachovaná), těch možností by asi byla celá řada...
