Разработчики Mozilla выкатили новое предложение, чтобы навести порядок с инфраструктурой открытых ключей (PKI) и сертификатами TLS. Их цель — подтолкнуть к автоматизации и улучшить безопасность. Среди фишек: ежегодный отзыв 30 случайных сертификатов для проверки системы.

Основные моменты предложения:

1) Отзыв должен происходить быстро, в строгом соответствии с требованиями TLS BR (раздел 4.9.1).

2) Удостоверяющие Центры (УЦ) обязаны информировать клиентов о сроках отзыва сертификатов и не разрешать их использование в неподготовленных системах.

3) В договоры добавят пункты о соблюдении сроков отзыва.

4) УЦ обязаны ежегодно тестировать планы массового отзыва, включая случайный выбор 30 сертификатов для аннулирования.

Аудиторские отчёты должны подтверждать соблюдение этих требований с 2026 года.

Если УЦ будут задерживать отзыв сертификатов, Mozilla усилит контроль или даже удалит корневые сертификаты УЦ из своего хранилища.

Такой подход позволяет не только повысить безопасность пользователей, но и уменьшить сроки действия сертификатов, что давно предлагают браузеры. Например, максимальный срок действия планируют сократить с 398 до 45 дней.

Что это значит для нас? Если все пойдёт по плану, автоматизация процессов защиты сайтов вырастет, а риски снизятся. Ну а владельцам сайтов пора задуматься, готовы ли их системы к быстрой замене сертификатов.

Источники: Habr.