Od 1 września 2020 roku przeglądarka Safari, dostępna na urządzenia firmy Apple, nie będzie ufać certyfikatom SSL wydanym na okres dłuższy niż rok. Co oznacza ta decyzja dla właścicieli stron internetowych i czy należy podjąć jakieś związane z tym działania?

Decyzja podjęta jednostronnie przez firmę Apple ma znaczenie dla wszystkich użytkowników certyfikatów SSL, a więc praktycznie wszystkich stron internetowych. Jeśli w 2020 roku masz stronę zabezpieczoną certyfikatem SSL, powinieneś jak najszybciej nadrobić zaległości.

Certyfikaty SSL wydane po 1 września 2020

Zmiana ta dotyczy tylko certyfikatów SSL wydawanych od 1 września 2020 roku. Jeśli przed tym dniem zamówiłeś i otrzymałeś certyfikat SSL ważny 2 lata, nie musisz nic robić. Certyfikat będzie poprawnie funkcjonować we wszystkich przeglądarkach internetowych do ostatniego dnia jego ważności.

Czy zmiana dotyczy tylko użytkowników Apple?

Nie, zmiana dotyczy wszystkich. Udział rynkowy przeglądarki Safari w lutym 2020 roku to 13%. To wystarczająco dużo, aby nie móc zignorować tak dużego ruchu na stronie internetowej.

Jednak naszym zdaniem to tylko kwestia czasu, kiedy również wydawcy pozostałych przeglądarek (np. Chrome i Firefox) wprowadzą analogiczną zmianę. Dostosują się do niej również wszyscy liczący się wystawcy certyfikatów SSL.

Udział przeglądarek w rynku w lutym 2020 r. Za W3Counter.

Certyfikaty SSL ważne wiele lat

Jeszcze nie tak dawno temu certyfikaty SSL były wydawane na okres aż 5 lat. Było to wygodne dla właścicieli stron WWW, jednak wiązało się z dużymi zagrożeniami bezpieczeństwa.

Przypominamy, że odnowienie certyfikatu SSL to realnie wydanie nowego certyfikatu, który musi być ponownie zainstalowany na serwerze. Wymaga to więc wykonania samodzielnej instalacji, bądź też przynajmniej kontaktu z obsługą techniczną serwera.

Algorytmy używane do szyfrowania transmisji, wraz ze wzrostem mocy obliczeniowej komputerów, przestały zapewniać wystarczający poziom bezpieczeństwa. Używany kiedyś algorytm SHA-1 musiał zostać wycofany i zastąpiony nowszym, SHA-256.

Inny powód związany jest z faktem, że niektórzy wystawcy certyfikatów zniknęli już z rynku. Przykładem jest firma Symantec, która została zastąpiona rozwiązaniami firmy Digicert w 2018 roku. Wydane wcześniej certyfikaty musiały więc być jak najszybciej zastąpione nowszymi, tak aby utrzymać odpowiedni poziom ochrony i dobrą reputację całego ekosystemu.

Konieczność częstszych instalacji certyfikatu oznacza zmniejszenie liczby starych certyfikatów, które mogą nie zapewniać wystarczającego już poziomu bezpieczeństwa. Zachęca również do częstszej wymiany kluczy związanych z certyfikatem.

W 2015 roku zaprzestano wydawania certyfikatów na okres 4 i 5 lat, a w 2018 roku na okres 3 lat. Powszechne natomiast były certyfikaty ważne 2 lata (a dokładnie maksymalnie 825 dni).

Od września 2020 roku certyfikaty SSL będą wydawane na okres maksymalnie 398 dni. Odpowiada to okresowi jednego roku plus dodatkowym dniom wynikającym z premii za wczesne odnowienie certyfikatu u tego samego wystawcy. Chodzi o to, żeby uzyskać komfortowo nowy certyfikat odpowiednio wcześniej przed wygaśnięciem poprzedniego, ale jednocześnie nie tracić pozostałego okresu ważności. Ma to szczególne znaczenie przy certyfikatach typu OV lub EV, których wydanie nie jest natychmiastowe i zazwyczaj trwa kilka dni. Warto działać z wyprzedzeniem, gdyż każda godzina przerwy w działaniu certyfikatu SSL może oznaczać ogromne straty.

Zmiana dotyczy wszystkich rodzajów certyfikatów SSL: dla pojedynczej domeny, Multi Domain oraz Wildcard. Wyjątek dotyczy certyfikatów Code Signing, które nadal będą wydawane na okres 2 lub 3 lat.

Jak kupić certyfikat SSL na okres nawet do 5 lat?

Zmiana ta przyspieszy ponowne wprowadzenie do oferty (również naszej) subskrypcji certyfikatów SSL na okres nawet do 5 lat.

Piszemy jednak tutaj o subskrypcji, nie o certyfikacie ważnym dłużej niż rok. Zakup subskrypcji na dłuższy okres będzie miał dwie główne zalety:

  • Oszczędność czasu wynikająca z jednokrotnego złożenia i opłacenia zamówienia, zamiast powtarzania tych czynności co roku.
  • Zniżka dotycząca opłaty za każdy rok w subskrypcji wieloletniej.

Korzystanie z takiej subskrypcji będzie wymagało wydania nowego certyfikatu SSL przynajmniej raz w roku. Będzie to jednak zdecydowanie prostszy proces niż zakup zabezpieczenia od nowa. Ponowne wydanie będzie dostępne cały czas, w dowolnym momencie i bez opłat. Skorzystasz z niego na każde życzenie, gdy tylko zechcesz wymienić klucze na nowe. Będzie to proces samoobsługowy.

Co oznaczają obecne zmiany?

Wszystkim naszym klientom regularnie przypominamy o wygasaniu certyfikatów SSL. W wielu naszych pakietach hostingowych oferujemy darmowe certyfikaty SSL, które odnawiane są automatycznie, bez konieczności podejmowania działania przez naszych klientów.

Stawką jest większe bezpieczeństwo stron internetowych i naszych klientów, uważamy więc zaproponowane zmiany za pożyteczne i potrzebne.

Klienci, którzy korzystają kompleksowo z naszych usług w zakresie utrzymania domen internetowych, serwera, certyfikatów SSL oraz często również opieki nad firmowym serwisem WWW, mogą w pełni skupić się na podstawowych wyzwaniach swojego biznesu.

Komentarze