Érkezik a TLS tanúsítványok érvényességi idejének további rövidítése

2025. jan. 22. | Pataki Tamás

Az SSL/TLS tanúsítványok érvényességi idejének rövidítése az elmúlt 10 évben már többször is megtörtént. Most az érvényességi idő akár 45 napra történő csökkentése van napirenden, ami évente akár kilencszeri tanúsítványcserét is jelentene! Velünk azonban nem kell ettől tartania. Hogy mit jelent ez Önnek, és hogyan kezelheti ezt a helyzetet, arról ebben a cikkben olvashat.

A tanúsítványok érvényességi idejének rövidítésének története

Az SSL tanúsítványok kezdeti időszakában nem létezett egyértelmű szabályozó az egész ágazatra nézve, ezt a szerepet ma a CA/Browser Forum konzorcium tölti be, amely 2005-ben alakult. Első eredményeik közé tartozott az EV tanúsítványokra vonatkozó szabályok kidolgozása 2007-ben.

Röviddel ezután megkezdődött az SSL tanúsítványok maximális érvényességi idejéről szóló vita, mivel ugyanaz a kulcspár évekig használható volt változtatás nélkül, ami nem járult hozzá a felhasználók biztonságához. 2015-ben az érvényességi időt három évre (39 hónapra) csökkentették; előtte akár 4-5 éves tanúsítványokat is kibocsátottak. A következő rövidítés 2018 márciusában történt, amikor az érvényességet 27 hónapra (825 napra) korlátozták.

2020 szeptemberében újabb rövidítés következett be. Az Apple, a Google és a Mozilla elérte, hogy a böngészők a 398 napnál régebbi tanúsítványokat érvénytelennek tekintsék, ezzel gyakorlatilag az érvényességi időt 1 évre és néhány napra korlátozták. Ez a szabályozás jelenleg is érvényben van, de a szakértők további rövidítéseket jósolnak a jövőben.

Jelenleg ismét az Apple és a Google vezetésével megkezdődött a rövidítés újabb hulláma, és javaslataikat a CA/Browser Forum plenáris ülésén tárgyalják. Eddig semmiben sem született kötelező érvényű döntés, de az Apple javaslata még merészebb, mint a Google-é, amely 90 napra szerette volna csökkenteni az időt. Jelenleg a tanúsítványok érvényessége 398 napra van korlátozva.

Az Apple javasolja a tanúsítványok 47 napra történő rövidítését, és ezt fokozatosan kívánja elérni. Az új tanúsítványok maximális érvényessége háromszor lesz csökkentve:

• 200 nap érvényességgel 2026 márciusától
• 100 nap 2027 márciusától
• 47 nap 2028 márciusától

Várható, hogy ezt a javaslatot végül elfogadják. Az Apple korábban is sikeresen érvényesítette javaslatait, még akkor is, ha nem azonnal fogadták el azokat, mivel böngészőjük jelentős piaci részesedéssel rendelkezik.

Hogyan készüljünk fel a rövidítésre

Automatizálja előre a tanúsítványok életciklusát – ez az egyetlen tanács, amit adhatunk. A tanúsítványok automatizálása nem feltétlenül bonyolult, és egyelőre van rá elegendő idő.

Az alábbi automatizálási lehetőségeket ajánljuk:

• ACME protokoll - Szabványos protokoll tanúsítványok beszerzésére, amely számos ACME-klienst használhat. A kliens általában nemcsak a tanúsítvány beszerzését, hanem a szerverre történő telepítését is képes elvégezni.
• DigiCert Automation Manager - agent/szenzor alapútechnológiát használ a CertCentral felületen keresztül. Ez lehetővé teszi a tanúsítványok átlátható kezelését és vezérlését.
• Trust Lifecycle Manager a DigiCert ONE keretében egy átfogó eszköz, amely képes kapcsolódni népszerű harmadik fél eszközeihez és szolgáltatásaihoz. Ez megkönnyíti az integrálást, különösen nagyvállalatok számára.
• KeyTalk CKMS szerver vagy szolgáltatás. A tanúsítványokat képes önállóan beszerezni és alkalmazni a cégének végberendezésein. Használható a TLS, de akár az S/MIME tanúsítványok automatizálására is.
• Saját integrációval API vagy a CA DigiCert API révén.

Az első négy példa képes kezelni a tanúsítvány teljes életciklusát, azaz a tanúsítvány megszerzésétől, kiállításától egészen annak telepítéséig (kompatibilis szerverre). Minden lefedve van, és nem kell semmi miatt aggódnia. Ha saját automatizálást készítene és az API-nkat beépítené, akkor a tanúsítványt megszerzi, de a szerver telepítése még mindig az Ön felelőssége marad.

Ne habozzon kapcsolatba lépni velünk mielőbb, és kérje ki tanácsunkat arra, hogyan automatizálja TLS tanúsítványait már ma további költségek nélkül.

Miért történik a rövidítés?

Az Apple és a Google meg vannak győződve arról, hogy a tanúsítványok rövidítése általánosan segít az internet biztonságán. Az alábbiakban bemutatunk néhány fő érvet a rövidítés mellett; a leggyakrabban emlegetett előny a felhasználók biztonságának növelése a kulcsok gyakoribb forgása révén.

A rövidebb tanúsítványok előnyei

A rövidebb érvényességű tanúsítványok hozzájárulnak a biztonság javításához, mivel szükség esetén gyorsabban hozhatnak új technológiákat. Ilyen forgatókönyv lehet például az átmenet a poszt-kvantum kriptográfiára (PQC) az RSA feltörése után kvantumszámítógéppel (ez biztosan vár ránk a jövőben). A rövidebb tanúsítvány érvényesség biztosítja, hogy az új algoritmusok gyorsabban eljussanak a szerverekre.

További ok lehet a károk minimalizálása kulcsok veszélyeztetése esetén. Ha kiszivárog a magánkulcs, a rövidebb érvényesség korlátozza a kompromittált tanúsítvány kihasználásának lehetséges időintervallumát (a kompromittálásról áldozat gyakran nincs is tudomása).

Fontos továbbá a tanúsítványok életciklusának automatizálásának fejlesztése, amely jelentős nyomás alatt felgyorsul. A tanúsítvány-adminisztrátorok kénytelenek a tanúsítványautomatizálást használni, ami végső soron az ő javukat szolgálja.

Hátrányok

A fő hátrányok közé tartozik a megnövekedett adminisztrációs terhelés. Többnyire ezt az automatizálás oldja meg, de mindig lesznek esetek, amikor ez nem könnyű vagy nem lehetséges. Az olyan rendszerek esetén, amelyek jelenleg nem támogatják az automatizálást, várni kell a gyártó részéről a támogatás kiegészítésére; az adminisztrátorok addig manuálisan kezelik a tanúsítványokat, és több munkájuk lesz. Azok a szervezetek, amelyek nem vezették be a tanúsítványkezelés automatizálását, gyakrabban megbénulhatnak a tanúsítványok megújítása miatt.

Bizonyos probléma a dolgok internetével (IoT) rendelkező eszközökkel is felmerül, amelyeket nem a rövidebb tanúsítvány-életciklus figyelembevételével gyártottak. Ha nem frissítik őket, akkor ezek az eszközök és a használt tanúsítványok valószínűleg összeütközésbe kerülnek a modern böngészőkkel.

Ne habozzon velünk konzultálni az automatizálásról

A rövidült tanúsítványok közelgő bevezetése nagy változás, de velünk ez nem jelenthet problémát. Forduljon hozzánk, és kezdje el automatizálni a tanúsítványokat; minél hamarabb teszi ezt meg, annál jobb Önnek!

---