Let’s Encrypt, neprofitno tijelo za izdavanje sertifikata, uvelo je šestodnevne sertifikate, koji se obično nazivaju kratkotrajnim sertifikatima.
Ova nova ponuda, predviđena za uvođenje u fazama tokom 2025. godine, predstavlja veliku promjenu u načinu upravljanja i korištenja digitalnih sertifikata na web-u.
Kratkotrajni sertifikati: Sigurnosna nadogradnja
Primarna motivacija iza ove promjene je rješavanje dugotrajnih izazova u opozivu sertifikata.
Tradicionalne metode kao što su liste opoziva certifikata (CRL) i Online protokol statusa sertifikata (OCSP) često su kritikovane zbog neefikasnosti i nepouzdanosti.
Kada je privatni ključ narušen, ovi mehanizmi obavještavaju korisnike da sertifikatu više ne treba vjerovati. Međutim, ugroženi sertifikati mogu ostati važeći do isteka zbog kašnjenja i operativnih nedostataka.
Kratkotrajni sertifikati ublažavaju ovaj rizik tako što značajno smanjuju prozor ranjivosti. Sa periodom važenja od šest dana, svaki narušeni ili pogrešno izdati sertifikat će prirodno isteći za manje od nedelju dana, eliminišući potrebu za mehanizmima opoziva kao što su CRL ili OCSP.
Ovaj pristup poboljšava sigurnost i pojednostavljuje upravljanje sertifikatima oslanjajući se na automatizaciju za česta obnavljanja.
Josh Aas, izvršni direktor matične organizacije Let’s Encrypt, Internet Security Research Group (ISRG), naglasio je važnost automatizacije u ovoj tranziciji. „Kratkotrajni sertifikati praktično zahtevaju automatizaciju“, naveo je on. “Vjerujemo da je automatizovano izdavanje sertifikata ključno za poboljšanje sigurnosti širom web-a.”
Podrška za IP adrese
Osim kraćeg životnog vijeka, Let’s Encrypt će također uvesti podršku za IP adrese u svojim šestodnevnim sertifikatima. Ova funkcija omogućava sigurne TLS veze sa uslugama koje rade isključivo preko IP adresa, zaobilazeći potrebu za imenima domena.
Validacija za IP adrese će biti ograničena na specifične tipove izazova— http-01i tls-alpn-01—jer provjera valjanosti zasnovana na DNS-u ( dns-01) nije primjenjiva.
Ovaj razvoj otvara nove mogućnosti za osiguranje slučajeva korištenja kao što su IoT uređaji i interni mrežni servisi koji se oslanjaju na direktne IP veze.
Međutim, to također predstavlja jedinstvene izazove, jer ne postoji mehanizam za provjeru zapisa ovlaštenja za sertifikate (CAA) za IP adrese.
Let’s Encrypt planira da interno izda svoje prve kratkotrajne sertifikate do februara 2025. Do aprila, korisnici koji su ranije usvojili će dobiti pristup ovim sertifikatima kroz postepeno uvođenje. Opšta dostupnost se očekuje do kraja 2025.
U početku, podrška za IP adresu možda neće biti uključena, ali je predviđeno da bude u potpunosti operativna do trenutka kada kratkotrajni sertifikati budu široko dostupni.
Pretplatnicima koji su zainteresovani za korištenje ovih sertifikata trebat će ACME klijent koji može podržati novi mehanizam profila sertifikata. Let’s Encrypt je obećao detaljne smjernice o tome kako se korisnici mogu uključiti u ovu funkciju kada ona postane dostupna.
Šestodnevni izazovi za sertifikat
Uvođenje šestodnevnih sertifikata označava značajnu evoluciju u Web PKI ekosistemu . Kratkotrajni sertifikati usklađeni su sa širim industrijskim trendovima prema kraćem vijeku trajanja sertifikata, koji su se progresivno smanjili sa nekoliko godina na samo 90 dana u protekloj deceniji.
Ovaj pomak odražava rastuće priznanje da kraći životni vijek povećava sigurnost ograničavanjem izloženosti tokom ključnih kompromisnih događaja.
Međutim, ovaj potez nije bez izazova. Povećana učestalost obnavljanja zahtijeva robusne sisteme automatizacije kako bi se osigurala neprekidna usluga. Organizacijama koje se oslanjaju na ručne procese može biti teško da se prilagode.
Uz to, Let’s Encrypt predviđa dramatičan porast obima izdavanja sertifikata, potencijalno do 20 puta sadašnjih nivoa, što bi moglo opteretiti infrastrukturu ako se pažljivo ne upravlja.
Odluka Let’s Encrypt-a da ponudi šestodnevne sertifikate pokazuje svoju posvećenost unapređenju web sigurnosti uz održavanje pristupačnosti putem besplatnih i automatizovanih usluga.
Kako usvajanje raste, ova inovacija bi mogla postaviti novi standard za izdavanje i upravljanje digitalnim sertifikatima u različitim industrijama.
Let’s Encrypt savjetuje pretplatnike da osiguraju da su njihovi ACME klijenti konfigurisani za pouzdane automatizovane obnove kako bi se pripremili za ovu tranziciju. Prihvatanjem ovih promjena, organizacije ne samo da mogu poboljšati svoj sigurnosni položaj, već i doprinijeti sigurnijem internetu za sve korisnike.
Svojim pionirskim pristupom, Let’s Encrypt nastavlja da čini šifrovanje sveprisutnim i sigurnim u cijelom web ekosistemu.
Nedavno je Let’s Encrypt zvanično objavio svoj vremenski okvir za ukidanje podrške za Online Certificate Status Protocol (OCSP) u korist liste opoziva certifikata (CRL).
Izvor: CyberSecurityNews
