Durata maxima de valabilitate (de viata) a certificatelor SSL / TLS a variat mult in ultimii ani, iar de fiecare data cand s-au facut modificari, perioada de valabilitate certificate TLS / SSL a devenit tot mai mica.
Inainte de 2011 perioada maxima de viata a certificatelor TLS era cuprinsa intre 8 si 10 ani, urmand ca dupa 2011, CA/Browser Forum (Certification Authority Browser Forum) sa o reduca la 5 ani.
Ulterior, in 2015, perioada maxima de valabilitate TLS a fost redusa la 3 ani, ca in 2018 sa ajunga la maxim 2 ani.
Perioada de valabilitate certificate TLS / SSL in 2023
La scrutinul din septembrie 2019, propunerea de limitare la 1 an a fost respinsa, in ciuda sustinerii vehemente a Google, Apple, Microsoft, Mozilla si Opera. Cu toate acestea, in luna februarie 2020, Apple a anuntat ca incepand cu 1 septembrie 2020, va respinge noile certificate TLS cu perioada mai mare de 398 de zile. Decizia Apple a fost adoptata rapid de Google, Mozilla si Microsoft.
Certificatele emise inainte de data punerii in aplicare a acestei decizii si certificatele “root” de tip “CA” nu vor fi afectate de aceasta schimbare chiar daca termenul lor de expirare depasete 398 de zile. In momentul reinnoirii lor, perioada maxima trebuie sa fie conforma cu noile cerinte.
“Conexiunile la serverele TLS care incalca aceste noi cerinte vor esua“, a spus Apple intr-un document de asistenta. Cu alte cuvinte, un certificat TLS neconform va impiedica functionarea aplicatiilor, serverelor de mail sau a website-urilor pe sistemele si aplicatiile dezvoltate de Apple.
La randul sau, Google a anuntat ca va marca cu codul de eroare “ERR_CERT_VALIDITY_TOO_LONG“, certificatele care nu se vor incadra in noua limita de valabilitate si le va trata ca fiind emise gresit.
Furnizorii de servicii SSL au inceput din vara lui 2022 sa retraga pachetele cu perioada de valabilitate 2 ani, pentru a evita surprizele neplacute. Noile certif cu perioada maxima de 397 de zile, asa cum au recomandat cei de la Apple.
Decizia de limitare a perioadei de viata pentru un certificat SSL / TLS, a fost luata din motive de securitate online. Cu cat perioada de valabilitate a unui certificat este mai mica, cu atat riscurile ca acesta sa functioneze un timp mai indelungat si dupa ce a fost compromis, este mai mica.
In prezent sunt adrese web (website-uri) care desi au certificate SSL / TLS valide, sunt periculoase pentru vizitatori. Contin coduri malware, adware sau programe de phishing. Ele raman marcate ca “safe” pana la momentul in care trebuie sa reinnoiasca SSL.
Si mai grav este pentru utilizatorii de smartphone care folosesc Firefox sau Chrome pentru navigarea pe pagini web. Din motive de sporire a performantei, Chrome si Firefox pentru mobile, nu verifica in timp real certificatele SSL. Astfel, utilizatorii pot accesa pagini web ale caror certificate au fost revocate, fara sa fie avertizati.
