Certifikační autority a další organizace sdružené v CA/Browser Fóru se dohodly na nové podobě pravidel pro vystavování certifikátů pro HTTPS (obecněji TLS). Ty od roku 2020 mohou platit 398 dnů, tedy něco málo přes rok. Od roku 2026 ale začne postupné zkracování maximální doby platnosti nově vystavovaných certifikátů. Ta se o tři roky později zastaví na pouhých 47 dnech.
Schválený harmonogram vypadá takto:
- Od 15. března 2026 nejvýše 200 dní,
- od 15. března 2027 nejvýše 100 dní,
- od 15. března 2029 nejvýše 47 dní.
O zkracování se hovoří zhruba od září loňského roku, kdy se začalo šeptat o připravovaném dokumentu, podle kterého chce společnost Google navrhnout zkrácení na 90 dnů. Nakonec ale s návrhem přišla společnost Apple, která navrhla postupné zkracování, které ale skončí přísnější lhůtou.
Hlasování předcházelo asi půl roku trvající připomínkovém řízení, ve kterém došlo k několika menším změnám. Nakonec pro návrh hlasovalo 25 z 30 certifikačních autorit, pět se zdrželo hlasování a nikdo nebyl proti. Z tvůrců prohlížečů byli pro všichni jednomyslně: Apple, Google, Microsoft a Mozilla.
Důvodem této změny je snaha o minimalizaci rizik spojených se zastaralými informacemi uloženými v certifikátech s příliš dlouhou platností. Zároveň autority chtějí, aby správci používali automatizované nástroje pro vystavování, správu a obnovování certifikátů. Tím se opět předejde celé řadě chyb způsobených pravidelnými ručními zásahy do běžících systémů. Mimo jiné to umožní rychlejší rotaci problematických certifikátů vystavených třeba kvůli technické chybě, protože revokační mechanismy nejsou dostatečně spolehlivé.
ČLÁNKY DO MAILU