Deset let zkracování
Před rokem 2012 neexistoval žádný ostrý limit týkající se délky platnosti certifikátů vystavovaných veřejnými certifikačními autoritami. Některé proto nabízely produkty s délkou platnosti 5 a některé dokonce až 10 let.
První omezení přišlo v roce 2012, kdy CA/Browser fórum přijalo první verzi pravidel pro certifikační autority [PDF]. V nich byla stanovena horní hranice platnosti na 60 měsíců, tedy na pět let. Tenhle limit ale neplatil dlouho, protože byl už v roce 2015 zkrácen na 39 měsíců – tedy na tři a čtvrt roku.
Ve stejném roce přišla autorita Let's Encrypt, která změnila pravidla v mnoha ohledech. Nabídla certifikáty zdarma, začala je vydávat automaticky a rovnou nastavila dobu platnosti na naprosto revolučních 90 dnů. Udělala to zcela dobrovolně a její zástupci od začátku tvrdili, že budou chtít v budoucnu ještě zkracovat.
Už o dva roky později, tedy v roce 2017, se ale začalo mluvit o další úpravě. Nejprve bylo navrhováno razantní zkrácení na 398 dnů, které ovšem neprošlo hlasováním. Všechny autority byly proti, s výjimkou zmíněné Let's Encrypt. Nakonec byl prosazen mírnější návrh – zkrácení na 825 dnů, tedy dva a čtvrt roku.
Tohle pravidlo platilo mezi léty 2018 a 2020, poté přišel Apple a svou vlastní silou rozhodl, že od 1. září 2020 nebude jeho prohlížeč Safari důvěřovat certifikátům vystaveným na dobu delší než 398 dnů. Ostatní tvůrci prohlížečů se samozřejmě rychle přidali a poslední čtyři roky tu tedy máme tento stav.
Google chce další zkrácení
Google už delší dobu ve svých materiálech deklaruje, že chce navrhnout zkrácení platnosti důvěryhodných certifikátů na 90 dnů. Zkrácení životnosti certifikátů podporuje automatizaci a přijetí postupů, které ekosystém osvobodí od barokních, časově náročných a na chyby náchylných procesů vydávání certifikátů. Tyto změny umožní rychlejší přijetí nových bezpečnostních standardů a osvědčených postupů a podpoří agilitu potřebnou k rychlému přechodu ekosystému na kvantově odolné algoritmy,
píše se v dlouhodobých plánech.
Zkrácení životnosti certifikátů také podle Google sníží závislost ekosystému na nefunkčních řešeních pro revokaci, která nemohou při selhání omezit přistup na web, a tudíž nabízejí neúplnou ochranu. Kromě toho kratší životnost certifikátů sníží dopad neočekávaných vyřazení logů v Certificate Transparency.
Míříme tedy k dalšímu zkrácení a mluví se o něm už delší dobu. Google ale neříká to důležité, a sice kdy ke změně dojde. Vědí to ovšem certifikační autority, které jsou členy CA/B Fóra a ačkoliv mají povinnost mlčenlivosti, občas nějaký neveřejný střípek utrousí, jelikož se na zkrácení samy musejí připravit.
Že to Google myslí vážně, je poznat i z vývojových aktivit jednotlivých autorit. Veškeré síly nyní věnují implementaci či vylepšení automatizace vydávání certifikátů pomocí protokolu ACME. Zejména investují do zlepšení bezpečnosti a autorizace doménových jmen,
říká Daniel Studený ze sdružení CESNET.
Dalším ukazatelem, že se něco opravdu chystá, je změna struktury a chování distribuované databáze Certificate Transparency, ke které dochází od loňského podzimu. Evidentně se připravuje na jiný objem zapisovaných certifikátů i na změnu počtu dotazů,
vysvětluje Studený.
Zřejmě už velmi brzy
V kuloárech se hovoří o tom, že se Google vysloví pravděpodobně během října, možná už koncem září. Google údajně plánuje v rámci CA/Browser fóra požádat o hlasování ohledně zkrácení maximální doby platnosti certifikátů z nynějšího roku na 90 dnů. Pokud neuspěje (což se očekává, už se tak v minulosti stalo), i tak zveřejní datum vydání první verze Chrome, která přístup na stránky serverů s certifikáty delší platnosti nebude podporovat,
říká Studený.
Jak už víme z minulosti, Microsoft, Apple i Mozilla se z konkurenčních důvodů přidají a certifikační autority přestanou vydávat certifikáty s delší platností, které stejně pozbudou smyslu a nikdo je nebude chtít. Hlasování pak bude schváleno dodatečně, protože ve své podstatě už bude stejně platit,
vysvětluje Daniel Studený.
Google chce v budoucnu se zkracováním dojít až na maximální délku 14 dnů. Kratší certifikáty už nejsou technicky použitelné, je třeba žádat s alespoň týdenním předstihem, což pak bude i běžná praxe. Na internetu se tak obvykle konkrétní certifikát neohřeje déle, než týden. Kdy dojde k tomuhle je otázka, ale klidně to může být už za rok či dva,
odhaduje Studený.
Dobrou zprávou je, že změna nebude retrospektivní a již vydané certifikáty by neměly být násilně revokovány a měly by být platné i v nových verzích prohlížečů až do své standardní expirace. Na překonfigurování serverů na automatické vydávání by tak měli mít správci rok času.
Podobně budou mít čas i na rozmyšlení si co se starými zařízeními a s takovými, která jsou sice nová, ale automatizaci i tak sama neumějí a umět nebudou. Jde zejména o síťové prvky, management konzole, tiskárny a podobná zařízení. I tam je ale často možné certifikát vydat jinde a například pomocí orchestrace následně nahrát. Nebo je možné použít interní autoritu a certifikát třeba na deset let, neboť takové věci obvykle nemají ve veřejné síti co dělat.
Co bude dál
Zkracování doby platností má svůj smysl, umožňuje rychleji reagovat na změny, které se v bezpečnostním prostředí dějí velmi rychle. Když se například rušily certifikáty se slabou hašovací funkcí SHA1, trvalo deset let, než skutečně přestaly platit ty s nejdelší životností.
V posledních letech se také hodně hovoří o odolnosti šifrovacích algoritmů proti kvantovým počítačům. Ty jsou sice podle odborníků ještě velmi vzdálenou budoucností, ale přesto je lepší předběžná opatrnost než následné hašení požáru.
Pro správce systémů bude ovšem zkracování znamenat plnou automatizaci všech souvisejících procesů. Naštěstí je tu s námi už téměř deset let autorita Let's Encrypt, která všechny zodpovědné správce naučila, jak na to. Určitě se ale najdou takoví, kteří spoléhají na to, že jednou za rok ručně certifikát přegenerují a vymění. Tomu zřejmě nadobro odzvoní.
Pokud patříte mezi správce systémů využívajících veřejné certifikační autority, sledujte pozorně dění v následujících měsících a připravte se na automatizované vystavování a nasazování certifikátů pomocí protokolu ACME. Certifikačních autorit s jeho podporou přibývá a už jej podporuje také sám Google.
Odkazy
- Chromium: Moving Forward, Together
- DigiCert: Chrome’s Proposed 90-Day Certificate Validity Period: What You Need to Know
- Sectigo: 90-Day SSL Certificates Are Coming
- Entrust: The Path to 90-Day Certificate Validity
- ClickSSL: Be ready for 90-Day SSL/TLS Validity
- GlobalSign: Google's 90 Day SSL Certificate Validity Plans Require CLM Automation
- FullProxy: Google’s 90-Day TLS Certificate Limit