Apple bude dôverovať len jednoročným certifikátom

(16. 3. 2020) V minulosti deklarované a doteraz nepresadené obmedzenia platnosti TLS certifikátov sa pomaly stáva skutočnosťou. Ako prvý sa pre tento krok rozhodlo Apple. Vo svojich produktoch nebude od 1. 9. 2020 dôverovať novo vydaným certifikátom s platnosťou dlhšou ako rok. Čo toto rozhodnutie znamená pre celé odvetvie sa dozviete v tomto článku.

Čo sa deje a prečo

Skrátenie maximálnej platnosti TLS certifikátov sa objavuje opakovane a na poli CAB fóra, ktoré reguluje celé odvetvie, sa o návrhu pochádzajúceho od Google naposledy hlasovalo ako o Ballote SC22 v auguste 2019. Vtedy neprešiel a hlavným argumentom zástancov dlhšej platnosti bola náročnosť častejšej výmeny certifikátov. Certifikačné autority zverejnili negatívny názor svojich zákazníkov, ktorí získali v odpovediach na ich dotazníky o reálnom dopade zmeny v ich prostredí.

Teraz na ďalšom februárovom stretnutí v Bratislave Apple oznámilo, že toto uznesenie nebude rešpektovať a pôjde proti nemu. Do 1. septembra 2020 teda môžete predĺžiť TLS certifikát na dva roky a bude naďalej v Apple produktoch platiť. Po tomto dátume bude Apple dôverovať len TLS certifikátom s maximálnou platnosťou 398 dní (1 rok a rezerva na obnovu).

Hlavným dôvodom pre obmedzenie platnosti TLS certifikátov je obava o bezpečnosť užívateľov a snaha o zvýšenie bezpečnosti; hovorca Apple uviedol, že to robia kvôli "ochrane užívateľa". Tento argument používajú všetci výrobcovia prehliadačov, ktorí sú zástancami čo najkratšej platnosti TLS certifikátov.

V praxi však predpoklad vyššej bezpečnosti komunikácie vynútenej kratšou platnosťou certifikátov zostáva nejednoznačný. Pre kladný dopad tejto zmeny je potreba predpokladať, že všetky certifikáty sa po roku pri obnovení vydajú s novou žiadosťou a na servery bude vymenený privátny kľúč. Pri plne automatizovaných PKI ekosystémoch to nie je problém a deje sa tak už teraz. Horšie je to pri manuálne spravovaných serveroch a systémoch, kde tento krok určite nezvýši ochotu správcov kľúče meniť; možno dokonca naopak môže prispieť k väčšej neochote a apatii. Bežnému majiteľovi webu skôr zvýši náklady na správu a jeho administrátorovi pridá prácu.

Čo bude ďalej?

Vzhľadom k histórii "skracovania certifikátov" je možné očakávať, že skôr či neskôr bude platnosť TLS certifikátov skrátená na jeden rok. Výrobcovia prehliadačov o to budú usilovať naďalej a majitelia webov budú vo väčšine prípadov voliť istotu v podobe "nerizikového" certifikátu na rok.

Pokiaľ budete prihliadať k užívateľom Apple zariadení a dôsledne dbať na dôveryhodnosť certifikátov v ich zariadeniach (Mac, iPad, iPhone), tak budete naďalej certifikáty predlžovať len na rok. Predĺžiť ich budete môcť len 33 dní pred expiráciou, inak prekročia zmienený limit.

Pokiaľ sa o užívateľov Applu a ich zariadenia neobávate, tak môžete dvojročné certifikáty používať aj po 1. septembri 2020. V slovenskom prostredí sú užívatelia Applu medzi návštevníkmi webu stále značnou menšinou a navyše je možné predpokladať, že iba časť z nich bude mať zariadenia aktualizované na najnovšiu verziu SW s týmto novým obmedzením. Problémom však bude dvojročný certifikát zakúpiť; je možné očakávať, že certifikačné autority čoskoro préjdu na ročný cyklus, pretože dvojročný by mohol byť mätúci (z vyššie uvedených dôvodov).

Majitelia TLS certifikátov pre web budú musieť certifikát na servery meniť rok čo rok (dúfajme už ďalšie skrátenie nenastane). Je vhodné certifikát predĺžiť na dva roky ešte pred 1. 9. a využiť naposledy túto možnosť; na dôveryhodnosť certifikátu toto vplyv nemá. Správcovia, ktorí TLS certifikáty nepoužívajú pre web (napr. mailserver), budú touto zmenou zbytočne obmedzení. Výhodou je však to, že overenie nebudete musieť robiť stále znovu (viď ďalší odstavec).

Vyššie uvedené skrátenie platnosti sa rozhodne netýka podpisových S/MIME certifikátov a certifikátov pre podpis kódu.

Aký má zmena dopad na zákazníkov?

Hlavnou zmenou bude pre majiteľov certifikátu nutnosť častejšej výmeny. Samotné predlžovanie už nie je problém. Získanie certifikátov sa na rozdiel od predchádzajúcich rokov výrazne zjednodušilo a urýchlilo. Zatiaľ čo predtým bolo nutné vykonávať overenie pre každý certifikát, a keby ste ho žiadali druhý deň po vydaní totožného, dnes už CA DigiCert používa uložené overenie pre firmy a domény. To stačí udržiavať aktívne a OV či EV certifikát vám bude vystavený obratom bez zbytočného zdržovania.

Našim zákazníkom sa snažíme získanie a správu certifikátov maximálne uľahčiť. Môžete využiť autorenew vrátane automatickej platby a pokiaľ máte u certifikačnej autority aktívne overenie, tak váš OV/EV certifikát bude vystavený automaticky a obratom. Vám ostáva iba vymeniť ho na servere.

Pokiaľ máte certifikát s doménovým overením, ktorý vyžaduje stále potvrdenie domény (tzv. DCV), tak vykonáte len toto jedno jednoduché overenie a certifikát smeruje za pár minút e-mailom k vám.

Správcom serverov odporúčame automatizáciu

Zmena dopadá hlavne na administrátorov serverov, ktorí certifikáty nasadzujú.  Tím sa budeme snažiť pomôcť. Pokiaľ máte TLS certifikát súčasťou služby, ako napríklad pri hostingu SLOVAKNET.sk, tak sa o inštaláciu nemusíte starať vôbec.

V spolupráci s DigiCertom vám už teraz ponúkame plnú automatizáciu získania a nasadenia TLS certifikátov. DigiCert plne podporuje ACME protokol, ktorý vám umožňuje použiť celú radu klientov pre rôzne serverové platformy. S našou asistenciou potom len overíte vašu firmu a domény, my pre vás pripravíme prístup k ACME protokolu u CA a môžete začať s plnou automatizáciou PKI ekosystému!

Neváhajte sa kedykoľvek obrátiť na našu podporu.

Zdroje a ďalšie informácie:

  1. DigiCert Blog: Position on 1-Year Certificates
  2. Apple support: About upcoming limits on trusted certificates