بدءًا من اليوم ، سيقتصر عمر شهادات TLS الجديدة على 398 يومًا ، أي ما يزيد قليلاً عن عام ، من الحد الأقصى لعمر الشهادة السابق وهو 27 شهرًا (825 يومًا).
في خطوة تهدف إلى تعزيز الأمان ، تم تعيين Apple و Google و Mozilla على رفض الشهادات الرقمية ذات الجذور العلنية في متصفحات الويب الخاصة بهم والتي تنتهي صلاحيتها لأكثر من 13 شهرًا (أو 398 يومًا) من تاريخ إنشائها.
تقلص العمر الافتراضي لشهادات SSL / TLS بشكل كبير خلال العقد الماضي. في عام 2011 ، فرض منتدى مستعرض المرجع المصدق (CA / Browser Forum) ، وهو اتحاد من هيئات إصدار الشهادات وبائعي برامج المتصفح ، حدًا مدته خمس سنوات ، مما أدى إلى خفض فترة صلاحية الشهادة من 8 إلى 10 سنوات.
بعد ذلك ، في عام 2015 ، تم اختصاره إلى ثلاث سنوات وإلى عامين مرة أخرى في عام 2018.
على الرغم من أن اقتراح تقليص مدة الشهادة إلى عام واحد قد تم إسقاطه في اقتراع في سبتمبر الماضي ، إلا أن الإجراء حظي بدعم كبير من صانعي المستعرضات مثل Apple و Google و Microsoft و Mozilla و Opera.
ثم في فبراير من هذا العام ، أصبحت Apple أول شركة تعلن أنها تنوي رفض شهادات TLS الجديدة الصادرة في أو بعد 1 سبتمبر والتي لها صلاحية لأكثر من 398 يومًا. منذ ذلك الحين ، اتبعت كل من Google و Mozilla حذوها لفرض قيود مماثلة لمدة 398 يومًا.
لن تتأثر الشهادات التي تم إصدارها قبل تاريخ التنفيذ ، ولا تلك التي تم إصدارها من المراجع المصدقة الجذرية (CAs) التي أضافها المستخدم أو التي أضافها المسؤول.
أوضحت شركة Apple في مستند دعم “الاتصالات بخوادم TLS التي تنتهك هذه المتطلبات الجديدة ستفشل”. “قد يتسبب هذا في فشل الشبكة والتطبيق ويمنع مواقع الويب من التحميل.”
من جانبها ، تعتزم Google رفض الشهادات التي تنتهك شرط الصلاحية بالخطأ “ERR_CERT_VALIDITY_TOO_LONG” والتعامل معها على أنها مُخطئة.
بالإضافة إلى ذلك ، توقف بعض موفري شهادات SSL ، مثل Digicert و Sectigo ، عن إصدار الشهادات بصلاحية لمدة عامين.
لتجنب العواقب غير المقصودة ، توصي Apple بإصدار الشهادات بصلاحية قصوى تبلغ 397 يومًا.
لماذا شهادة قصيرة العمر؟
يعمل تحديد مدة الشهادة على تحسين أمان موقع الويب لأنه يقلل الفترة التي يمكن فيها استغلال الشهادات المخترقة أو المزيفة لشن هجمات تصيد احتيالي وبرامج ضارة.
هذا ليس كل شئ. لا تتحقق إصدارات الجوال من Chrome و Firefox بشكل استباقي من حالة الشهادة بسبب قيود الأداء ، مما يتسبب في تحميل مواقع الويب ذات الشهادات الملغاة دون إعطاء أي تحذير للمستخدم.
بالنسبة للمطورين ومالكي المواقع ، يعد التطوير وقتًا مناسبًا لتنفيذ أتمتة الشهادات باستخدام أدوات مثل Let’s Encrypt و EFF’s CertBot ، والتي توفر طريقة سهلة لإعداد وإصدار وتجديد واستبدال شهادات SSL دون تدخل يدوي.
قال كريس هيكمان ، كبير مسؤولي الأمن في Keyfactor: “لا تزال الشهادات منتهية الصلاحية مشكلة كبيرة ، حيث تكلف الشركات ملايين الدولارات بسبب انقطاع الخدمة كل عام”. “علاوة على ذلك ، قد تؤدي تحذيرات الشهادات منتهية الصلاحية بشكل متكرر إلى جعل زوار الويب أكثر راحة في تجاوز التحذيرات الأمنية ورسائل الخطأ.”
“ومع ذلك ، غالبًا ما ينسى المشتركون في الشهادة كيف ومتى يتم استبدال الشهادات ، مما يتسبب في انقطاع الخدمة بسبب انتهاء الصلاحية غير المتوقع […] مما يجعلهم غير مهيئين لإدارة هذه الشهادات الجديدة ذات العمر الافتراضي الأقصر على نطاق واسع “.
