แนวทางการลดอายุใบรับรองการเข้ารหัสเว็บเป็นแนวทางที่ต่อเนื่องกันมาในช่วงห้าปีที่ผ่านมา จากเดิมสมัยก่อนที่เราเคยซื้อใบรับรองเข้ารหัสอายุยาวนานถึง 8 ปีได้ ในปี 2015 CA/Browser Forum ก็ลดเพดานอายุใบรับรองเหลือ 39 เดือน และในปี 2017 ก็ลดเพดานลงเหลือ 825 วัน วันนี้ก็เป็นวันสุดท้ายของการซื้อใบรับรองอายุ 2 ปี เนื่องจากใบรับรองที่ออกวันที่ 1 กันยายนเป็นต้นไป หากมีอายุเกิน 397 วันจะใช้งานกับเบราว์เซอร์หลักทั้ง Chrome, Firefox, และ Safari ไม่ได้อีกต่อไป
กูเกิลเคยเสนอให้ลดเพดานอายุใบรับรองลงเหลือ 398 วันตั้งแต่ปี 2017 แต่ไม่ได้รับการสนับสนุน แต่ในปีนี้แอปเปิลกลับเป็นผู้ผลิตเบราว์เซอร์แรกที่ประกาศเพดานอายุใบรับรอง 397 วันก่อนที่กูเกิลและมอซิลล่าจะประกาศตามมา
ใบรับรองอายุยาวนานนับเป็นปัญหาความปลอดภัยของเว็บอย่างหนึ่ง เนื่องจากบ่อยครั้งที่ไคลเอนต์ไม่ได้ตรวจสอบรายการใบรับรองที่ถูกยกเลิก ทำให้ใบรับรองที่กุญแจหลุดไปยังคนร้ายแล้วกลับใช้งานได้อีกเป็นเวลานาน หรือกระบวนการเข้ารหัสที่เปลี่ยนไป เช่นการเลิกใช้ใบรับรองที่เซ็นด้วยค่าแฮชแบบ SHA-1 ที่ต้องใช้เวลานานนับปีเนื่องจากเซิร์ฟเวอร์จำนวนมากยังใช้ใบรับรองเก่า การบังคับออกใบรับรองใหม่ไปเรื่อยๆ ลดปัญหาเหล่านี้ไปได้
ตอนนี้บริษัทผู้ออกใบรับรองหลายบริษัทเลิกออกใบรับรองอายุ 2 ปีไปก่อนแล้ว แต่ก็อาจจะมีบางบริษัทที่ออกให้จนวันสุดท้าย
ที่มา - Bleeping Computer
Comments
ทำไมตัวเลขจำนวนวันจึงแปลกๆ ครับ ทำไมไม่เป็น 365 วัน (1 ปี) ไปเลย หรือเป็น 39 เดือน (3 ปี 3 เดือน) แทนที่จะเป็น 36 เดือน (3 ปี) เป็นต้น
Bonus time แล้วก็มี expiration notification ให้ล่ะมั้งคะ
ขอบคุณครับ
เอาจริงๆ คือไม่ได้มีหลักอะไรขนาดนั้นครับ มันมีฝ่ายที่ขอให้ยืดอีกหน่อยทุกครั้งไป
แต่รวมๆ คือองค์กรควรมีเวลาต่อล่วงหน้าระยะหนึ่ง เช่นบอกว่าอายุ 1 ปี ก็มีเวลาต่ออยู่อีกเดือนนึง (เพิ่งส่งจัดซื้อตอนครบปีอะไรแบบนั้น) กับแถมเศษให้เผื่อติดเสาร์อาทิตย์อีกหน่อย
แต่อย่างที่เห็น มันมีคนเพิ่มคนลด แต่โดยหลักๆ แล้วคือต้องต่ออายุก่อนหมดอายุได้นานพอสมควร แม้แต่ Let's Encrypt ที่สั้นสามเดือนก็คล้ายๆ กัน
lewcpe.com, @wasonliw
เอาไว้ต่ออายุครับ
เช่นใบรับรอง ถ้าออกในปีแรก จะได้ 365 วัน
01/09/2020-31/08/2021
แต่ทาง CA มักจะให้ทาง Client ต่อเวลาล่วงหน้าก่อนหมดอายุ 1 เดือน (31+1) เผื่อเดือนไหนมี 31 วัน และปีไหนกุมภามี 29 วัน ครับ
ดังนั้น ถ้าต่ออายุ ก่อน 1 เดือน ก็จะเข้าเงื่อนไข 397 (365+31+1) วัน ในการต่ออายุปีที่ 2
คือต่อในวันที่ 01/08/2021 ใบรับรองจะหมดอายุ 31/08/2022 แทนที่จะหมดอายุวันที่ 02/08/2022 ตามวันที่กดต่ออายุครับ
แต่ถ้าใครต่ออายุก่อนหน้า 1 เดือนก็จะขาดทุนวันไป มันจะไม่ครบวันที่ควรจะหมดอายุครับ เพราะมันได้แค่ 397 วัน
แนะนำให้กดต่ออายุก่อนหมดอายุ 1 เดือน จะได้ใบรับรองครบรอบ 1 ปีจากวันหมดอายุอันเดิม
การต่ออายุใบรับรอง มันจะไม่เหมือนการต่ออายุโดเมน
?