اخبار امنیت

حداکثر طول عمر گواهینامه‌های SSL/TLS از 1 سپتامبر 2020 398 روز شده است!

۱۶ شهریور ۱۳۹۹

حداکثر طول عمر گواهینامه‌های SSL/TLS از ۱ سپتامبر ۲۰۲۰ ۳۹۸ روز شده است!

از تاریخ یکم سپتامبر ۲۰۲۰، طول عمر گواهینامه‌های SSL/TLS جدید به ۳۹۸ روز کاهش یافته است. این رقم قبلاً برابر با ۲۷ ماه (۸۲۵ روز) بود. اپل، گوگل و موزیلا در طی اقدامی که به منظور افزایش امنیت صورت گرفته است، در مرورگرهای خود، گواهینامه‌های دیجیتالی را که بیش از ۱۳ ماه (۳۹۸ روز) از تاریخ صدور آن‌ها گذشته است را منقضی اعلام خواهند کرد. طول عمر گواهینامه‌های SSL/TLS در طی دهه گذشته به طور قابل توجهی کاهش یافته است. در سال ۲۰۱۱ انجمن صدور گواهینامه‌های مرورگرها (CA/Browser Forum) که گروهی متشکل از متخصصین صدور گواهینامه و سازندگان مرورگرها هستند، اعتبار گواهینامه‌ها را که در آن زمان ۸ تا ۱۰ سال بود، به ۵ سال کاهش دادند. متعاقباً در سال ۲۰۱۵ این مقدار به سه سال و در سال ۲۰۱۸ به دوسال کاهش یافت.

اگرچه پیشنهاد کاهش طول عمر گواهینامه‌ها به یک سال، در رأی‌گیری سپتامبر سال گذشته، تعداد آراء لازم را کسب نکرد، اما سازندگان مرورگرها از جمله اپل، گوگل، مایکروسافت، موزیلا و اپرا به طور گسترده از این مصوبه حمایت نموده‌اند. پس از آن، در فوریه سال جاری میلادی، اپل اولین شرکتی بود که اعلام کرد قصد دارد گواهینامه‌های جدید TLS که در اول سپتامبر ۲۰۲۰ یا بعد از آن صادر شوند را در صورتی که اعتبار آن‌ها بیش از ۳۹۸ روز است، رد کند. سپس گوگل و موزیلا نیز برای اعمال محدودیت ۳۹۸ روزه، از اپل پیروی کردند. گواهینامه‌هایی که قبل از این تاریخ صادر شده‌اند، شامل این محدودیت نخواهند بود. همچنین گواهینامه‌هایی که از مرجع گواهی Root (CA) توسط کاربر یا مدیر شبکه صادر شده‌اند نیز تحت تأثیر این محدودیت نمی‌باشند.

اپل در یک سند پشتیبانی به این موضوع اشاره نمود که در صورتی که این الزامات نقض شوند، اتصال به سرورهای TLS امکان‌پذیر نخواهد بود. این موضوع ممکن است منجر به اختلال در شبکه و یا برنامه‌ها شده و مانع از بارگیری برخی از وب‌سایت‌ها گردد. گوگل نیز به نوبه خود در نظر دارد تا گواهینامه‌هایی که شرط مدت اعتبار را با بروز خطای “ERR_CERT_VALIDITY_TOO_LONG” نقض کنند، رد کرده و با آن‌ها همانند گواهینامه‌های مشکل‌دار رفتار کند. علاوه بر این، برخی از صادکنندگان گواهینامه‌های SSL مثل Digicert و Sectigo نیز قبلاً صدور گواهینامه‌هایی با مدت اعتبار دوساله را متوقف کرده‌اند. برای جلوگیری از عواقب ناخواسته، اپل توصیه می‌کند که گواهینامه‌ها با حداکثر اعتبار ۳۹۷ روز صادر گردند.

چرا طول عمر گواهینامه‌ها کاهش یافته است؟

محدود کردن طول عمر گواهینامه‌ها، امنیت وب‌سایت را بهبود می‌بخشد. چرا که این محدودیت، طول دوره‌ای که می‌توان از از گواهینامه‌های آسیب‌پذیر یا جعلی، در حملات فیشینگ و بدافزارها از آن‌ها سوءاستفاده نمود را کاهش می‌دهد. از سوی دیگر، نسخه‌های موبایل مرورگرهای کروم و فایرفاکس بدلیل محدودیتی که در عملکرد دارند، وضعیت گواهینامه را به طور پیشگیرانه بررسی نمی‌کنند و این باعث می‌شود وب‌سایت‌هایی که گواهینامه منقضی شده دارند بدون هیچ هشداری برای کاربر نمایش داده شوند. برای توسعه‌دهندگان و صاحبان وب‌سایت‌ها، بازه توسعه، زمان مناسبی برای خودکارسازی فرآیند پیاده‌سازی گواهینامه‌ها با استفاده از راهکارهایی همانند Let’s Encrypt و EFF’s CertBot می‌باشد که راهی آسان برای راه‌اندازی، صدور، تمدید و جایگزینی گواهینامه‌های SSL بدون مداخله دستی ارائه می‌دهند.

کریس هیکمن مدیر ارشد امنیت در Keyfactor، می‌گوید: گواهینامه‌های منقضی شده همچنان یک مشکل بزرگ هستند و هرساله میلیون‌ها دلار هزینه به شرکت‌ها تحمیل می‌کنند. علاوه بر این، هشدارهای مکرر گواهینامه‌های منقضی شده، منجر به این خواهد شد که بازدیدکنندگان وب‌سایت‌ها، به سادگی، این هشدارهای امنیتی را دور بزنند. با این حال مشترکین گواهینامه‌ها اغلب، نحوه یا زمان تعویض گواهینامه‌ها را فراموش می‌کنند و بدلیل انقضاء غیرمنتظره آن‌ها، موجب قطع سرویس‌ها می‌گردند که موضوع کاهش زمان اعتبار گواهینامه‌ها نیز به خودی خود تأثیر منفی در این فرآیند خواهد داشت.

تعداد بازدید: 60