عنوان:

‫کاهش چشمگیر طول عمر گواهینامه‌های SSL/TLS تا 47 روز در سال 2029


نویسنده: وحید نصیری
تاریخ: ۱۴۰۴/۰۲/۲۸ ۰۹:۵۲
آدرس: www.dntips.ir
انجمن CA/Browser (CA/B Forum) به منظور ارتقای امنیت اینترنت، پیشنهادی را تصویب کرده است که بر اساس آن، حداکثر دوره اعتبار گواهینامه‌های SSL/TLS به طور چشمگیری کاهش خواهد یافت و از 398 روز کنونی به تنها 47 روز تا 15 مارس 2029 خواهد رسید. این تصمیم که ابتدا توسط شرکت اپل (Apple) پیشنهاد شده و توسط بازیگران اصلی صنعت از جمله گوگل (Google)، موزیلا (Mozilla) و سکتایگو (Sectigo) مورد تایید قرار گرفته است، با هدف کاهش خطرات مرتبط با گواهینامه‌های با عمر طولانی و تشویق به خودکارسازی مدیریت گواهینامه‌ها اتخاذ شده است.

جدول زمانی کاهش طول عمر گواهینامه‌ها
بر اساس پیشنهاد ارائه شده، انتقال به طول عمر کوتاه‌تر گواهینامه‌های SSL/TLS به تدریج و طی چند سال صورت خواهد گرفت. از 15 مارس 2026، حداکثر دوره اعتبار گواهینامه‌ها به 200 روز کاهش می‌یابد. به دنبال آن، در 15 مارس 2027، کاهش دیگری اعمال شده و این محدودیت به 100 روز خواهد رسید. در نهایت، در 15 مارس 2029، حداکثر طول عمر به تنها 47 روز تقلیل می‌یابد که نشان‌دهنده تغییری اساسی در نحوه مدیریت گواهینامه‌ها در سراسر صنعت خواهد بود.

کاهش دوره اعتبار اطلاعات اعتبارسنجی دامنه
علاوه بر کاهش طول عمر گواهینامه‌ها، دوره‌ای که در آن اطلاعات اعتبارسنجی دامنه (Domain Validation) می‌تواند مجدداً مورد استفاده قرار گیرد نیز کاهش خواهد یافت. این دوره از 398 روز کنونی به 10 روز تا سال 2029 تقلیل می‌یابد که این امر مستلزم انجام فرآیندهای اعتبارسنجی مجدد به صورت مکررتر خواهد بود.

منطق پشت این تغییر
استدلال اصلی پشت این تغییر، ارتقای سطح امنیت از طریق محدود کردن بازه زمانی است که در آن یک گواهینامه به خطر افتاده می‌تواند مورد سوء استفاده قرار گیرد. طول عمر کوتاه‌تر، اتکا به سازوکارهای ابطال گواهینامه (Certificate Revocation) را کاهش می‌دهد، سازوکارهایی که از نظر تاریخی چندان قابل اعتماد نبوده‌اند.

دیدگاه‌های مخالف و چالش‌های عملیاتی
برخی از متخصصان نسبت به عملی بودن و ضرورت این تغییر ابراز تردید کرده‌اند. به عنوان مثال، دنیل وی. بیلی (Daniel V. Bailey) فقدان شواهد تجربی قوی برای اثبات مفید بودن این اقدام را مورد سوال قرار داده و اظهار داشته است که اگرچه هدف از این تغییر مشخص است (بهبود عملکرد ضعیف بررسی‌های ابطال گواهینامه و کمک ابزارهای خودکار در تمدید گواهینامه‌ها)، اما در عمل، شرکت‌ها با سیستم‌ها و دستگاه‌های قدیمی مواجه خواهند بود که در آن‌ها خودکارسازی به آسانی امکان‌پذیر نیست.
دیگران نیز چالش‌های عملیاتی بالقوه، به ویژه برای سازمان‌هایی که فاقد قابلیت‌های خودکارسازی هستند، را برجسته کرده‌اند. یکی از کاربران ردیت (Reddit) اظهار داشته است که هزینه تحمیل شده (از جمله به نهادهای دولتی) برای خودکارسازی تمام چرخه‌های مدیریت گواهینامه‌ها، همراه با فقدان شواهد واقعی (حملاتی که این اقدام از آن‌ها جلوگیری می‌کرد) برای توجیه آن به عنوان یک اقدام امنیتی، احتمالاً منجر به بررسی دقیق و دیرهنگام نفوذ و قدرت تصمیم‌گیری غیرپاسخگوی انجمن CA/BF توسط دولت‌ها تا زمان فرا رسیدن این مهلت‌ها خواهد شد.

استدلال‌های موافقان کاهش طول عمر گواهینامه‌ها
طرفداران کاهش طول عمر گواهینامه‌های SSL/TLS استدلال می‌کنند که دوره‌های اعتبار کوتاه‌تر با محدود کردن بازه زمانی که در آن یک گواهینامه به خطر افتاده می‌تواند مورد سوء استفاده قرار گیرد، امنیت را افزایش می‌دهد. همانطور که توسط سکتایگو (Sectigo) اشاره شده است، دوره‌های اعتبار کوتاه‌تر، خطراتی مانند به خطر افتادن کلید خصوصی (Private Key Compromise)، صدور نادرست (Misissuance) و تاخیر در ابطال (Revocation Delays) را کاهش داده و در نتیجه امنیت دیجیتال را تقویت می‌کند.
علاوه بر این، حرکت به سوی طول عمر کوتاه‌تر، پذیرش مدیریت خودکار گواهینامه‌ها را تشویق می‌کند. به گفته اپ‌ویو‌ایکس (AppViewX)، گواهینامه‌های با عمر کوتاه نیازمند تمدیدهای مکرر هستند که بهترین راه برای مدیریت آن‌ها، استفاده از خودکارسازی به منظور جلوگیری از انقضای گواهینامه‌ها و قطعی‌های ناشی از آن است. راهکارهای خودکار، مدیریت یکپارچه چرخه عمر گواهینامه‌ها را تضمین کرده و باعث تقویت انطباق، کارایی عملیاتی و اعتماد دیجیتال می‌شوند.

نتیجه‌گیری و چشم‌انداز آینده
با سازگاری صنعت با این تغییرات، سازمان‌ها نیازمند ارزیابی شیوه‌های مدیریت گواهینامه‌های خود و پیاده‌سازی خودکارسازی در صورت امکان خواهند بود تا بتوانند امنیت و انطباق را در چشم‌انداز دیجیتال در حال تحول حفظ کنند. این تغییرات برای توسعه‌دهندگان نیز حائز اهمیت است، زیرا آن‌ها باید اطمینان حاصل کنند که برنامه‌ها و سیستم‌های تحت مدیریت‌شان قادر به مدیریت چرخه‌های کوتاه‌تر گواهینامه‌ها به صورت کارآمد و خودکار هستند تا از بروز اختلال در سرویس‌ها جلوگیری شود. آشنایی با مفاهیم اعتبارسنجی دامنه (Domain Validation) و سازوکارهای ابطال گواهینامه (Certificate Revocation) و همچنین آمادگی برای پیاده‌سازی راهکارهای مدیریت خودکار گواهینامه‌ها برای این دسته از متخصصان ضروری خواهد بود.



مشاهده مطلب اصلی