Apple na začátku nového školního roku zpřísní zacházení s internetovými certifikáty TLS. Jeho prohlížeč Safari bude po 1. září přijímat pouze ty certifikáty, jejichž platnost nepřekročí 398 dnů. Novinku na svém webu rozebírá bezpečnostní expert Michal Špaček.
Zpřísnění se týká jen nově vydaných certifikátů po 31.8. 2020. Ty stávající s delší platností tedy bude Safari akceptovat i nadále, dokud definitivně nevyprší.
Současné TLS certifikáty, které ověřují třeba základní věrohodnost HTTPS spojení, mohou mít trvanlivost nejvýše dva roky, Applu to ale nestačí. A nejen jemu – mnohé autority, které vydávají certifikáty, totiž samy snížily jejich dobu trvání. Typickým příkladem je třeba bezplatný Let’s Encrypt, který vyžaduje obnovu každých 90 dnů.
Zvýší se integrita
Špaček zkrácení doby platnosti vítá, zvýší se totiž integrita celého ověřovacího mechanizmu, který si mnohé prohlížeče řeší po svém a jinak v desktopové a mobilní verzi. Když například správce daný certifikát odvolá (revoke), změna se může u některých prohlížečů projevit až po delším čase, protože za účelem úspory komunikace neprovádějí vždy přímou kontrolu online, zdali je vše v pořádku.
Odvolaný certifikát v desktopovém a mobilním Chromu. Desktopový provede online kontrolu a certifikát odmítne, mobilní nikoliv.
Pokud se čas zkrátí na jeden rok, zkrátí se i tento problém a některé další. Dodržování přímé kontroly platnosti certifikátu ve svém prohlížeči si můžete ověřit načtením adresy https://revoked.badssl.com. Slušně vychovaný webový prohlížeč by měl zobrazit chybové hlášení.
