Drastiskt minska livslängden för SSL-certifikat, som främst drivs av Apple och Google, för att skapa kortare tid att kapa certifikat.
Webbplatscertifikat, även kända som SSL/TLS-certifikat, använder kryptografi med offentlig nyckel för att autentisera webbplatser till webbläsare. Platscertifikaten utfärdades av betrodda certifikatutfärdare som verifierar att de äger webbadresser och var ursprungligen giltiga i åtta till tio år. Den perioden sjönk till fem år 2012 och har gradvis minskat till 398 dagar i dag.
De två ledande webbläsartillverkarna, bland andra, har fortsatt att förespråka en mycket snabbare uppdateringstakt. År 2023 krävde Google webbplatscertifikat som inte är giltiga i mer än 90 dagar, och i slutet av 2024 lämnade Apple in ett förslag till Certification Authority Browser Forum (CA/Browser Forum) om att certifikat ska upphöra att gälla inom 47 dagar senast den 15 mars 2028. (Olika versioner av förslaget har hänvisat till 45 dagar, så det kallas ofta för 45-dagarsförslaget.)
Om CA/Browser Forum antar Apples förslag kommer IT-avdelningar som för närvarande uppdaterar sitt företags webbplatscertifikat en gång om året att behöva göra det ungefär var sjätte vecka, en åttafaldig ökning. Till och med Googles mer blygsamma 90-dagarsförslag skulle fyrdubbla IT-avdelningens arbetsbelastning. Här är vad företag behöver veta för att förbereda sig.
Varför vill man ha kortare livslängd för SSL-certifikat?
Den officiella anledningen till att påskynda certifikatförnyelsecykeln är att göra det mycket svårare för cybertjuvar att utnyttja så kallade certifikat och för att underblåsa nätfiske och andra nackdelar för att stjäla data och autentiseringsuppgifter.
Att förkorta tidsramen kan minska dessa attacker, men bara om tidsramen är så kort att den förnekar angriparna tillräckligt med tid för att göra sitt onda. Och vissa säkerhetsspecialister hävdar att 47 dagar fortfarande är gott om tid. Det är därför osannolikt att dessa attacker kommer att minska väsentligt.
I grunden är det liknande problem runt t.ex. bank-id.
Läs även om säkerhetstekniken här
https://spannande-business.ainews.zone/del-2-krypteringens-hemliga-varld-asymmetri/
Lämna kommentar