Entrustin julkisten varmenteiden maksimipituus pudotetaan 398 päivään, koska Apple muuttaa Safari-selaimen toimintatapaa 1.9.2020 alkaen.

Apple ilmoitti viikolla 8 Bratislavassa pidetyssä CA/Browser Forumin kokouksessa, että Safari-selain hyväksyy 1.9.2020 alkaen enintään 398 päivää voimassa olevat uudet SSL-varmenteet. Pidemmistä varmenteista tulee varoitus. Tuota päivää ennen tehdyt varmenteet saavat olla vielä kahden vuodenkin pituisia. Tämän seurauksena myös Entrust Datacard ilmoitti, että jatkossa julkisten SSL-varmenteiden maksimipituus lyhennetään 398 päivään. Tiedotamme vielä asiakkaitamme tarkemmin, kun muutos astuu virallisesti voimaan.

Toimenpiteen taustalla on selainvalmistamien syyskuussa 2019 CA/Browser Forumissa tekemä esitys Ballot SC22 siitä, että kaikkien julkisten SSL-varmenteiden maksimipituus rajoitettaisiin reiluun vuoteen. Varmennetoimittajat saivat palautetta yli 3800 asiakkaalta ja yli 80% totesi, että työmäärän lisääntyminen on kohtuutonta verrattuna saavutettuun tietoturvan kasvuun. Näin esitys hylättiin.

Applen yksipuolisella päätöksellä lienee käytännössä sama teho. Apple ei ole vielä julkaissut virallista Knowledge Base -artikkelia, mutta kun asia vahvistetaan, on vaikutus kattava. Kaikki sivustojen toteuttajat haluavat sivustonsa näkyvän myös Safarissa, joten varmenteiden voimassaoloajan kannattaa jatkossa olla alle 398 päivää. Siksi Entrustkin on reagoinut asiaan nopeasti.

Vaikutukset asiakkaillemme

Muutoksella ei ole paljoa vaikutusta niille asiakkaillemme, jotka jo tähän mennessäkin ovat tuottaneet pääsääntöisesti vain vuoden mittaisia varmenteita. Muutos lisää varmenteiden hallintatyötä niillä asiakkaillamme, jotka ovat tottuneet tekemään maksimipituisia varmenteita.

Entrust on tuonut viime aikoina ECS-portaaliin (Entrust Certificate Services) varmenteiden hallinnan automatisointiin liittyviä uusia työkaluja. Autamme asiakkaitamme mielellämme näiden käyttöönotossa. Tällä hetkellä automatisointia helpottavia ratkaisuja on mm.:

  • ACME-protokollan tuki ECS-portaalissa
  • REST API -hallintarajapinta ECS-portaalissa
  • Ansible-moduuli varmenteiden hallinnan automatisointiin
  • Entrust Turbo -asennusmenetelmä (IIS-ympäristöihin)

Kaikkea varmenteiden hallintaa ei kuitenkaan pystytä automatisoimaan. Wesentralla on vahva kokemus varmenteiden hallinnasta ECS-Portaalin ja parhaiden käytäntöjen avulla. Näissäkin tapauksissa autamme asiakkaitamme mielellämme.

Huomio duplikaatteja käyttäville asiakkaillemme

Vielä huomio niille asiakkaillemme, jotka käyttävät maksuttomia duplikaatteja wildcard ja/tai multi-domain -varmenteista. Tässä skenaario mahdollisesta tilanteesta:

  1. On tehty wildcard-varmenne siten, että sen voimassaolo päättyy 30.12.2021.
  2. On tehty ryhmä maksuttomia duplikaatteja eri palvelimille
  3. Kaikki nämä ovat ok myös Safarille, koska ne on tehty ennen 1.9.2020
  4. Tulee tarve tehdä vielä yksi duplikaatti 1.9.2020 jälkeen.
  5. Tätä duplikaattia Safari ei hyväksy, koska se on tehty 1.9.2020 jälkeen ja sen voimassaolo on pidempi kuin 389 päivää

Jos sinulla on tällainen tilanne, ota meihin yhteyttä: tuki(at)wesentra.com

Lisää tietoja: https://www.wesentra.com tai info(at)wesentra.com

Vastaa