Maximálna platnosť SSL certifikátov sa skráti na 47 dní

Značky: SSL / TLSweb

DSL.sk, 14.4.2025

Maximálna možná dĺžka platnosti SSL / TLS certifikátov pre servery sa v nasledujúcich štyroch rokoch postupne skráti iba na 47 dní.

Takýto návrh pod označením SC-081v3 aktuálne schválilo konzorcium CA/Browser Forum združujúce certifikačné autority a tvorcov prehliadačov, upozornil Bleeping Computer.

Serverové SSL certifikáty sa používajú okrem iného samozrejme najmä na zabezpečených webových stránkach. V minulosti sa SSL certifikáty mohli vydávať aj na viacero rokov, v súčasnosti sa vydávajú maximálne na niečo viac ako rok, konkrétne môžu platiť maximálne 398 dní. Napríklad populárna certifikačná autorita Let's Encrypt vydávajúca bezplatné certifikáty ich vydáva ale iba na 90 dní a tento rok začína vydávať aj certifikáty platné iba 6 dní.

Podľa schváleného návrhu od 15. marca 2026 už všetky certifikačné autority budú môcť vydávať certifikáty na maximálne 200 dní.

Od 15. marca 2027 to bude na 100 dní a nakoniec od 15. marca 2029 bude maximálna doba platnosti certifikátov môcť byť 47 dní.

Pri takto krátkej dobe platnosti to výrazne podporí automatizáciu obnovy certifikátov, čo by okrem iného malo eliminovať incidenty s exspirovanými certifikátmi kvôli včas neuskutočnenej manuálnej výmene. Skrátenie maximálnej doby platnosti certifikátov navrhovali v poslednej dobe Google aj Apple, podľa Google nasadenie automatizácie pri obnove certifikátov po skrátení platnosti okrem iného umožní v budúcnosti rýchlejšie nasadzovať nové technológie a napríklad umožní rýchly prechod na algoritmy odolné kvantovým počítačom.




Najnovšie články:



Diskusia:

výpočet Od: meheh | Pridané: 14.4.2025 22:45 ako prišli na takéto číslo? prečo nie 42? Odpovedať Známka: 9.3 Hodnotiť:

Re: výpočet Od: lolofonder | Pridané: 14.4.2025 23:13 to cislo uz pouzil niekto iny Odpovedať Známka: 9.2 Hodnotiť:

Re: výpočet Od: iugbh | Pridané: 15.4.2025 0:22 Samotné číslo 47 dní je vybrané ako optimalizované obdobie, ktoré zohľadňuje technické, praktické a bezpečnostné faktory. Dôležité je, že táto zmena bude vyžadovať veľkú mieru automatizácie obnovy certifikátov, aby organizácie nečelili problémom so správou certifikátov. Odpovedať Známka: -3.3 Hodnotiť:

Re: výpočet Od: pozorovatel | Pridané: 15.4.2025 4:40 Bla-bla-bla-bla... Optimálny čas je 42. To spočítali najlepšie kapacity Vesmíru. To, že tu na Zemi sa niekto hrá na vlastnom piesočku a presadzuje vlastné štandardy, v nekonečnosti Vesmíru nič neznamená. Odpovedať Známka: 8.7 Hodnotiť:

Re: výpočet Od: kecalek | Pridané: 15.4.2025 7:32 Tak, tak - číslo 42 je magické :Đ. A preto by mala byť platnosť 42... ale možno rokov, mesiacov, dní, hodín, minút, sekúnd, alebo dokonca mrknutí oka? Odpovedať Známka: 4.3 Hodnotiť:

ultraradikálny objasňovačizmus Od: syntaxterrorXXX, . Y | Pridané: 15.4.2025 7:53 Na základe dlhoročných skúseností pri vypĺňaní žiadostí o poskytnutie informácií o zostávajúcich rôčkoch do vydaja. S ohľadom na legislatívne nejasnosti vstupov pre možné genderovíé kombinácie sa však kukučky preorientovali na omnoho perspektívnejšiu oblasť bezpečnosti a prechodom výpočtov z jednotiek s jednoduchou presnosťou na high-precision computing odpovedajú pri ranných prechádzkach dysižn mejkrov priekazne na otázky o vhodnej dĺžke platnosti SSL certifikátov či bezpečnom počte medveďov na centimeter štvorcový. Odpovedať Známka: 3.3 Hodnotiť:

dnes má meniny Fódor Od: Teta Žoržeta | Pridané: 15.4.2025 12:42 Musi byt 47, lebo je podmienkou aby tam bolo jedno parne a jedno neparne cislo, nakolko cislo 4 je parne, tak cislo 2 uz nemohli pouzit. Takze idealne je cislo 47. Odpovedať Známka: 10.0 Hodnotiť:

Re: výpočet Od reg.: Blaze79 | Pridané: 15.4.2025 20:22 Prečo práve 47 dní? To číslo nie je náhodné – je to návrh Googlu, známy ako "Moving to 90-day Certificate Validity", ale v prípade ich vlastného projektu "Automated Certificate Management" sa v dokumentáciách hovorí o 45 až 48 dňoch, pričom 47 dní je optimálny interval pre automatizované obnovovanie certifikátov (napr. Let's Encrypt obnovuje každých 60 dní). Preco je to ale take optimalne? Google navrhuje obnovu každých 45 dní v rámci automatizačných pipeline (napr. Google Chrome Root Store Policy). 47 dní je mierne nad touto hodnotou, čím poskytuje: - Buffer pre zlyhanie. - Možnosť ešte jeden pokus pred expiráciou. Cize ide priblizne o dve obnovy kazdy kvartal. Odpovedať Hodnotiť:

Re: výpočet Od: uuuuuuuuuuuuu | Pridané: 16.4.2025 11:20 je to prvočíslo! Z toho vyplýva, že je to jasný tajný odkaz pre iluminátov a templárov. Odpovedať Hodnotiť:

--------------------------------------- Od: ParaNoik | Pridané: 15.4.2025 8:27 Security by obscurity. Inými slovami, nevieme urobiť certifikáty a proces vydávania bezpečný, tak ich budeme vydávať rýchlo na krátke obdobie, lebo sme vypočítali, že priemerný záškodník potrebuje 48 dní na to, aby ich prelomil. Odpovedať Známka: 8.3 Hodnotiť:

Re: --------------------------------------- Od: Berg | Pridané: 15.4.2025 9:29 Pripomína mi to wildcard cert cez Geotrust na OVS. Zavolal mi Ind, ktorému nebolo poriadne nič rozumieť. On mi rozumel ešte menej. Keby som mu tvrdil, že som Erwin Rommel, CEO Microsoft-u, tak mi to zhltne. A rozlúčil sa so mnou vetou že sa teší ako si sám pošle e-mail. Niečo ako "I'm looking forward to send myself an e-mail". Odpovedať Známka: 10.0 Hodnotiť:

Re: --------------------------------------- Od: ParaNoik | Pridané: 15.4.2025 13:37 To nebol ind, ale early alfa verzia nejakej indickej Human Interface AI. Odpovedať Známka: 10.0 Hodnotiť:

Re: --------------------------------------- Od: uuuuuuuuuuuuu | Pridané: 16.4.2025 11:24 to nie je o bezpečnosti vydávania. to je o dlhodobej spoľahlivosti konfigurácie a správy. Proces je bezpečný už teraz. Lenže ak máš certifikát na 2 roky, pritom niekto urobí nejaký šachmaty v security, tak po 2 rokoch automatická obnova nemusí zafungovať. Povieme si: zmení sa niečo, keď to bude 6 dní? Jasne, že sa zmení! Všetko sa zmení! Dnes keď si marketingáči vymyslia nejakú stupídnu stránku, tak si nechajú zaplatiť agentúre, nech to nasadí aj s certifikátom. Kréžom krážom kdekto mimo devops tímu objednáva, vydáva a nasadzuje certifikáty. Kde všade zostanú kópie private key to ani včielka netuší. No a po dvoch rokoch to zrazu padne, marketing líder sa už venuje inej zábavke, dodávateľa vymenili, lebo sa im rozpadne tím a nikto nevie, ako to nahodiť. Po novom sa bude objednávať rovno proces s automatickou obnovou. A to už nie je tak easy (preto dúfam, že sa do toho budú menej rýpať marketingoví amatéri) a zároveň sa rýchlo ukáže, ak je to urobené na pikatchu. Odpovedať Hodnotiť:

Nie je to zlé, ale... Od: Baltazár Kokoschka | Pridané: 15.4.2025 8:58 Geekom by sa skôr páčila platnosť na 3,14. Odpovedať Známka: 10.0 Hodnotiť:

Re: Nie je to zlé, ale... Od: uuuuuuuuuuuuu | Pridané: 16.4.2025 11:25 myslíš vždy do 14.03.? Odpovedať Hodnotiť:

Pridať komentár