Platnost SSL-certifikátů: Proč je kratší lepší?

17. 4. 2018 | Jindřich Zechmeister

Jistě pro vás není novinkou, že na základě rozhodnutí CAB Fóra nelze od 1.3.2018 získat certifikát s platností delší než dva roky. I pokud byly tříleté certifikáty vaše oblíbené, není nutno věšet hlavu. Náš následující článek vám objasní, v čem spočívají výhody tohoto na první pohled možná nepříjemného opatření a proč bylo regulace doby platnosti třeba.

Platnost certifikátů se krátí postupně již několik let

Ještě před založením CAB Fóra – organizace slučující certifikační autority a prohlížeče – v roce 2005 nebyly vydávající entity co se týče doby platnosti certifikátů vázány žádnými limity. Ještě po miléniu tak například nebyl problém narazit i na certifikát vystavený na 10 let – i když „jen“ od GoDaddy. Teprve na základě rozhodnutí CAB Fóra z roku 2011 se platnost plošně snížila na 60 měsíců a certifikátům vystaveným po 1.4.2015 byla dokonce vytyčena ještě přísnější hranice 39 měsíců.

Logo CAB Fóra

V únoru loňského roku následoval návrh platnost certifikátů zkrátit na pouhých 398 dní. Ten však hlasujícími stranami přijat nebyl a namísto něj byl v březnu roku 2017 schválen návrh č. 193 stanovující hranici 825 dní. S nedávným ročním výročím tohoto usnesení tak nastal čas se s tříletými certifikáty nadobro rozloučit.

Proč jsou kratší certifikáty výhodnější?

Na první pohled se může zdát, že kratší platnost certifikátů nám přinese jediné – nutnost častějších renew. I v tomto případě ale platí, že každá strana má dvě mince! (Nemluvě o tom, že nová infrastruktura CA DigiCert umožňuje využít již jednou provedené ověření po dobu dvou let).

Přizpůsobení se trhu

Stejně jako celý internetový trh i svět kryptografické bezpečnosti se stále vyvíjí a mění. Připomeňme si například konec SHA-1 certifikátů. Rozhodnutí certifikačních autorit ukončit k 1.1.2016 jejich vydávání šlo jedině přijmout, ale mnohým z nás tak vznikla otázka, co si počít s již vystavenými „jedničkovými“ certifikáty. Od ledna 2017 prohlížeče totiž certifikáty vystavené na základě tohoto algoritmu přestaly považovat za důvěryhodné.

Možná si také pamatujete na přechod z 1.024 bitových klíčů na 2.048 bitové, omezení podpory lokálních jmen a IP adres nebo na nedávné rozhodnutí Chromu, přestat kontrolovat Common Name certifikátů.

A tak se sice i nadále platný, ale prohlížeči již neuznávaný certifikát může stát nechtěnou proprietou... V podobných případech, kdy je třeba se přizpůsobit zvyšování bezpečnostních standardů, je kratší platnost certifikátů logicky výhodnější, protože umožňuje na změny reagovat pružněji.

Rotace klíčů

Ruku na srdce, myslíte na to, že i během platnosti certifikátu nemusí být marné bezplatně jej přegenerovat s novým párem klíčů? O tom, že podobná uvědomělost bohužel není příliš častým jevem, svědčí i to,  že v mnoha případech je původní privátní klíč užit i pro samotné prodloužení certifikátu. Právě Renew je ale skvělou příležitostí pro tzv. rotaci klíčů, tedy jejich výměnu. Čím déle je jeden privátní klíč uložen v jedné infrastruktuře, tím většímu riziku kompromitace je vystaven. Vyměnit privátní klíč se přitom doporučuje alespoň jednou za rok! Kratší platnost certifikátů nám tedy může posloužit jako vítaná prevence.

Opakování - matka moudrosti

Kauz, kdy i velmi známé weby přestaly být dostupné z důvodu expirovaného SSL certifikátu bylo v poslední době více než dost – informovali jsme vás o „ostudě“ u LinkedIn, Pokémonu či konzervativní strany Velké Británie. Zejména v rámci velkých společností může i tak důležitý krok jako je obnova SSL certifikátu „zapadnout“ – ať už střídáním odpovědných osob nebo jednoduše z důvodu, že úkony, které neděláme pravidelně, prostě zapomínáme. Náš SSLmarket vás na blížící se expiraci vašeho certifikátu samozřejmě zavčas upozorní, kromě formou e-mailu i v detailu vašeho zákaznického účtu:

U SSLmarketu jste na blížící se expiraci upozorněni e-mailem i na svém účtu

U SSLmarketu jste na blížící se expiraci upozorněni e-mailem i na svém účtu

O prodloužení certifikátu pak stačí zažádat pouze jedním kliknutím...  SSLmarketu vám ale nabízí i funkci Autorenew a u hostingu Czechia.com se certifikáty navíc většinou i automaticky nasazují, i přesto ale není od věci, zopakovat si celý proces zažádání o obnovu a nasazení prodlouženého certifikátů častěji než jedenkrát za tři roky...

U každé objednávky najdete tlačítko pro automatické prodloužení certifikátu

U každé objednávky najdete tlačítko pro automatické prodloužení certifikátu

Informace v certifikátu

Zatímco v DV-certifikátu je zveřejněn název domény, u OV a EV certifikátů návštěvník stránky nalezne i název firmy, pro kterou byl certifikát vystaven. Představte si, že jste získali tříletý certifikát a po roce jste se rozhodli změnit název vašeho e-shopu nebo dokonce celé firmy... U SSLmarketu vám zaručujeme 30denní garanci pro výměnu či revokaci certifikátu, ovšem přejmenování společnosti většinou nebývá rychle realizovaným rozhodnutím. Certifikát vystavený na delší dobu se tak snadno může stát neužitečným. 

Jsme zastánci bezpečnosti a a proto zkrácení platnosti certifikátů vítáme. Věříme, že přispěje i k vaší spokojenosti, ať už z jakéhokoliv z uvedených důvodů! 

Reference

Why we need to do more to reduce certificate lifetimes

Why do SSL Certificates Expire?


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz