انجمن CA/Browser (CA/B Forum) به منظور ارتقای امنیت اینترنت، پیشنهادی را تصویب کرده است که بر اساس آن، حداکثر دوره اعتبار گواهینامههای SSL/TLS به طور چشمگیری کاهش خواهد یافت و از 398 روز کنونی به تنها 47 روز تا 15 مارس 2029 خواهد رسید. این تصمیم که ابتدا توسط شرکت اپل (Apple) پیشنهاد شده و توسط بازیگران اصلی صنعت از جمله گوگل (Google)، موزیلا (Mozilla) و سکتایگو (Sectigo) مورد تایید قرار گرفته است، با هدف کاهش خطرات مرتبط با گواهینامههای با عمر طولانی و تشویق به خودکارسازی مدیریت گواهینامهها اتخاذ شده است.
جدول زمانی کاهش طول عمر گواهینامهها
بر اساس پیشنهاد ارائه شده، انتقال به طول عمر کوتاهتر گواهینامههای SSL/TLS به تدریج و طی چند سال صورت خواهد گرفت. از 15 مارس 2026، حداکثر دوره اعتبار گواهینامهها به 200 روز کاهش مییابد. به دنبال آن، در 15 مارس 2027، کاهش دیگری اعمال شده و این محدودیت به 100 روز خواهد رسید. در نهایت، در 15 مارس 2029، حداکثر طول عمر به تنها 47 روز تقلیل مییابد که نشاندهنده تغییری اساسی در نحوه مدیریت گواهینامهها در سراسر صنعت خواهد بود.
کاهش دوره اعتبار اطلاعات اعتبارسنجی دامنه
علاوه بر کاهش طول عمر گواهینامهها، دورهای که در آن اطلاعات اعتبارسنجی دامنه (Domain Validation) میتواند مجدداً مورد استفاده قرار گیرد نیز کاهش خواهد یافت. این دوره از 398 روز کنونی به 10 روز تا سال 2029 تقلیل مییابد که این امر مستلزم انجام فرآیندهای اعتبارسنجی مجدد به صورت مکررتر خواهد بود.
منطق پشت این تغییر
استدلال اصلی پشت این تغییر، ارتقای سطح امنیت از طریق محدود کردن بازه زمانی است که در آن یک گواهینامه به خطر افتاده میتواند مورد سوء استفاده قرار گیرد. طول عمر کوتاهتر، اتکا به سازوکارهای ابطال گواهینامه (Certificate Revocation) را کاهش میدهد، سازوکارهایی که از نظر تاریخی چندان قابل اعتماد نبودهاند.
دیدگاههای مخالف و چالشهای عملیاتی
برخی از متخصصان نسبت به عملی بودن و ضرورت این تغییر ابراز تردید کردهاند. به عنوان مثال، دنیل وی. بیلی (Daniel V. Bailey) فقدان شواهد تجربی قوی برای اثبات مفید بودن این اقدام را مورد سوال قرار داده و اظهار داشته است که اگرچه هدف از این تغییر مشخص است (بهبود عملکرد ضعیف بررسیهای ابطال گواهینامه و کمک ابزارهای خودکار در تمدید گواهینامهها)، اما در عمل، شرکتها با سیستمها و دستگاههای قدیمی مواجه خواهند بود که در آنها خودکارسازی به آسانی امکانپذیر نیست.
دیگران نیز چالشهای عملیاتی بالقوه، به ویژه برای سازمانهایی که فاقد قابلیتهای خودکارسازی هستند، را برجسته کردهاند. یکی از کاربران ردیت (Reddit) اظهار داشته است که هزینه تحمیل شده (از جمله به نهادهای دولتی) برای خودکارسازی تمام چرخههای مدیریت گواهینامهها، همراه با فقدان شواهد واقعی (حملاتی که این اقدام از آنها جلوگیری میکرد) برای توجیه آن به عنوان یک اقدام امنیتی، احتمالاً منجر به بررسی دقیق و دیرهنگام نفوذ و قدرت تصمیمگیری غیرپاسخگوی انجمن CA/BF توسط دولتها تا زمان فرا رسیدن این مهلتها خواهد شد.
استدلالهای موافقان کاهش طول عمر گواهینامهها
طرفداران کاهش طول عمر گواهینامههای SSL/TLS استدلال میکنند که دورههای اعتبار کوتاهتر با محدود کردن بازه زمانی که در آن یک گواهینامه به خطر افتاده میتواند مورد سوء استفاده قرار گیرد، امنیت را افزایش میدهد. همانطور که توسط سکتایگو (Sectigo) اشاره شده است، دورههای اعتبار کوتاهتر، خطراتی مانند به خطر افتادن کلید خصوصی (Private Key Compromise)، صدور نادرست (Misissuance) و تاخیر در ابطال (Revocation Delays) را کاهش داده و در نتیجه امنیت دیجیتال را تقویت میکند.
علاوه بر این، حرکت به سوی طول عمر کوتاهتر، پذیرش مدیریت خودکار گواهینامهها را تشویق میکند. به گفته اپویوایکس (AppViewX)، گواهینامههای با عمر کوتاه نیازمند تمدیدهای مکرر هستند که بهترین راه برای مدیریت آنها، استفاده از خودکارسازی به منظور جلوگیری از انقضای گواهینامهها و قطعیهای ناشی از آن است. راهکارهای خودکار، مدیریت یکپارچه چرخه عمر گواهینامهها را تضمین کرده و باعث تقویت انطباق، کارایی عملیاتی و اعتماد دیجیتال میشوند.
نتیجهگیری و چشمانداز آینده
با سازگاری صنعت با این تغییرات، سازمانها نیازمند ارزیابی شیوههای مدیریت گواهینامههای خود و پیادهسازی خودکارسازی در صورت امکان خواهند بود تا بتوانند امنیت و انطباق را در چشمانداز دیجیتال در حال تحول حفظ کنند. این تغییرات برای توسعهدهندگان نیز حائز اهمیت است، زیرا آنها باید اطمینان حاصل کنند که برنامهها و سیستمهای تحت مدیریتشان قادر به مدیریت چرخههای کوتاهتر گواهینامهها به صورت کارآمد و خودکار هستند تا از بروز اختلال در سرویسها جلوگیری شود. آشنایی با مفاهیم اعتبارسنجی دامنه (Domain Validation) و سازوکارهای ابطال گواهینامه (Certificate Revocation) و همچنین آمادگی برای پیادهسازی راهکارهای مدیریت خودکار گواهینامهها برای این دسته از متخصصان ضروری خواهد بود.