Apple bude důvěřovat pouze jednoletým certifikátům

16. 3. 2020 | Jindřich Zechmeister

Dříve deklarované a dosud neprosazené omezení platnosti TLS certifikátů se pomalu stává skutečností. Jako první se k tomuto kroku rozhodl Apple. Ve svých produktech nebude od 1. 9. 2020 důvěřovat nově vydaným certifikátům s platností delší než rok. Co toto rozhodnutí znamená pro celé odvětví se dozvíte v tomto článku.

Co se děje a proč

Zkrácení maximální platnosti TLS certifikátů se objevuje opakovaně a na poli CAB fóra, které reguluje celé odvětví, se o návrhu pocházejícího od Google naposledy hlasovalo jako o Ballotu SC22 v srpnu 2019. Tehdy neprošel a hlavním argumentem zastánců delší platnosti byla náročnost častější výměny certifikátů. Certifikační autority zveřejnily nelibý názor svých zákazníků, který získaly v odpovědích na jejich dotazníky o reálném dopadu změny v jejich prostředí.

Nyní na dalším únorovém setkání v Bratislavě Apple oznámil, že toto usnesení nebude respektovat a půjde proti němu. Do 1. září 2020 tedy můžete prodloužit TLS certifikát na dva roky a bude nadále v Apple produktech platit. Po tomto datu bude Apple důvěřovat jen TLS certifikátům s maximální platností 398 dní (1 rok a rezerva na obnovu).

Hlavním důvodem pro omezení platnosti TLS certifikátů je obava o bezpečnost uživatelů a snaha o zvýšení bezpečnosti; mluvčí Apple uvedl, že to dělají kvůli "ochraně uživatele". Tento argument používají všichni výrobci prohlížečů, kteří jsou zastánci co nejkratší platnosti TLS certifikátů.

V praxi však předpoklad vyšší bezpečnosti komunikace vynucený kratší platností certifikátů zůstává nejednoznačný. Pro kladný dopad této změny je třeba předpokládat, že všechny certifikáty se po roce při obnovení vydají s novou žádostí a na serveru bude vyměněn privátní klíč. U plně automatizovaných PKI ekosystémů to není problém a děje se tak už teď. Horší je to u manuálně spravovaných serverů a systémů, kde tento krok určitě nezvýší ochotu správců klíče měnit; možná dokonce naopak může přispět k větší neochotě a apatii. Běžnému majiteli webu spíše zvýší náklady na správu a jeho administrátorovi přidá práci.

Co bude dál?

Vzhledem k historii "zkracování certifikátů" lze očekávat, že dřív nebo později bude platnost TLS certifikátů zkrácena na jeden rok. Výrobci prohlížečů o to budou usilovat nadále a majitelé webů budou ve většině případů volit jistotu v podobě "nerizikového" certifikátu na rok.

Pokud budete přihlížet k uživatelům Apple zařízení a důsledně dbát na důvěryhodnost certifikátů v jejich zařízeních (Mac, iPad, iPhone), tak budete nadále certifikáty prodlužovat jen na rok. Prodloužit je budete moci jen 33 dní před expirací, jinak překročí zmíněný limit.

Pokud se o uživatele Applu a jejich zařízení neobáváte, tak můžete dvouleté certifikáty používat i po 1. září 2020. V českém prostředí jsou uživatelé Applu mezi návštěvníky webu stále značnou menšinou a navíc lze předpokládat, že pouze část z nich bude mít zařízení aktualizované na nejnovější verzi SW s tímto novým omezením. Problémem však bude dvouletý certifikát zakoupit; lze očekávat, že certifikační autority brzy přejdou na roční cyklus, protože dvouletý by mohl být matoucí (z výše uvedených důvodů).

Majitelé TLS certifikátů pro web budou muset certifikát na serveru měnit rok co rok (snad už další zkrácení nenastane). Je vhodné certifikát prodloužit na dva roky ještě před 1. 9. a využít naposledy tuto možnost; na důvěryhodnost certifikátu toto vliv nemá. Správci, kteří TLS certifikáty nepoužívají pro web (např. mailserver), budou touto změnou zbytečně omezeni. Výhodou je však to, že ověření nebudete muset dělat pořád znovu (viz další odstavec).

Výše uvedené zkrácení platnosti se rozhodně netýká podpisových S/MIME certifikátů a certifikátu pro podpis kódu.

Jak změna dopadá na zákazníky?

Hlavní změnou bude pro majitele certifikátu nutnost častější výměny. Samotné prodlužování už není problém. Získání certifikátů se na rozdíl od předchozích let výrazně zjednodušilo a urychlilo. Zatímco dříve bylo nutné provádět ověření pro každý certifikát, i kdybyste ho žádali druhý den po vydání totožného, dnes už CA DigiCert používá uložené ověření pro firmy a domény. To stačí udržovat aktivní a OV či EV certifikát vám bude vydán obratem bez zbytečného zdržování.

Našim zákazníkům se snažíme získání a správu certifikátů maximálně ulehčit. Můžete využít autorenew včetně automatické platby a pokud máte u certifikační autority aktivní ověření, tak váš OV/EV certifikát bude vydán automaticky a obratem. Vám zbývá pouze vyměnit ho na serveru.

Pokud máte certifikát s doménovým ověřením, který vyžaduje pokaždé potvrzení domény (tzv. DCV), tak provedete pouze toto jedno jednoduché ověření a certifikát směřuje za pár minut e-mailem k vám.

Správcům serverů doporučujeme automatizaci

Změna dopadá hlavně na administrátory serverů, kteří certifikáty nasazují.  Těm se budeme snažit pomoci. Pokud máte TLS certifikát součástí služby, jako například u hostingu CZECHIA.com, tak se o instalaci nemusíte starat vůbec.

Ve spolupráci s DigiCertem vám už nyní nabízíme plnou automatizaci získání a nasazení TLS certifikátů. DigiCert plně podporuje ACME protokol, který vám umožňuje použít celou řadu klientů pro různé serverové platformy. S naší asistencí pak jen ověříte vaši firmu a domény, my pro vás připravíme přístup k ACME protokolu u CA a můžete začít s plnou automatizací PKI ekosystému!

Neváhejte se kdykoliv obrátit na naši podporu.

Zdroje a další informace:

  1. DigiCert Blog: Position on 1-Year Certificates
  2. Apple support: About upcoming limits on trusted certificates

Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz