در اواخر سال جاری ، Safari دیگر گواهینامه های جدید HTTPS را که بیش از ۱۳ ماه از تاریخ ایجاد آنها منقضی شده است ، نمی پذیرد.
این سیاست روز چهارشنبه توسط iGiant در یک جلسه مرورگر انجمن گواهینامه (CA / مرورگر) رونمایی شد. به طور خاص ، با توجه به افراد حاضر در اعتراف ، از اول سپتامبر ، به هر وب سایت جدید معتبر بیش از ۳۹۸ روز توسط مرورگر سافاری قابل اعتماد نخواهد بود و در عوض رد می شود. گواهینامه های قدیمی ، که قبل از مهلت مقرر صادر شده اند ، تحت تأثیر این قانون نیستند.
اپل با اجرای خط مشی در Safari ، این برنامه را در کلیه دستگاههای iOS و macOS اجرا می کند. این امر به مدیر و توسعه دهندگان وب سایت فشار می آورد تا اطمینان حاصل کنند که گواهینامه های آنها الزامات اپل را برآورده می کند – یا صفحات را در دستگاه ها و رایانه های به علاوه میلیارد دلار ریسک نمی کند.
پروتکل
اپل در چهل و نهمین گردهمایی اعضای کنسرسیوم داوطلبانهای از کمپانی های که گواهی امنیتی یا گواهی SSL/TSL برای وبسایتها ارائه می دهند، خبر از این برنامه و زمان اجرای آن داد.سایتهایی که از پروتکل HTTPS استفاده میکنند همه از گواهینامههای امنیتیای بهره میبرند که اطلاعات رد و بدل شده بین سایت و بازدیدکننده یا کاربر آن را با رمزنگاری دادهها محافظت میکند. بدینترتیب اطلاعات رمزنگاری شده بین مرورگر کاربر و سایت مقصد تنها در مبدا و مقصد قابل رمزگشایی هستند و چیزی جز اطلاعات رمزنگاری شده و ناخوانا در اختیار کسی که در بین راه مشغول شنود دادهها است، قرار نمیگیرد.
اپل غول فناوری
این تصمیم اپل منجر به کاهش تعداد گواهینامههای امنیتی طولانیمدت میشود که احتمال شنودشان از سوی هکرها یا دولتها بیشتر است.بازه زمانی طولانیتر برای گواهینامههای امنیتی بهصورت بالقوه میتواند ریسک لو رفتن آن و دسترسی حملهکنندگان اینترنتی و هکرها به کلید رمزنگاری و نهایتا دستیابی به اطلاعات کاربران آن وبسایت در بین راه را افزایش دهد.
این تصمیم اپل منجر به کاهش تعداد گواهینامههای امنیتی طولانیمدت میشود که احتمال شنودشان از سوی هکرها یا دولتها بیشتر است. به گزارش سایت The Register در حال حاضر سایتهای مطرحی همچون سایت مایکروسافت و گیتهاب از گواهینامههای امنیتی دو ساله استفاده میکنند. طبق سیاست جدید اپل سایتهایی همچون نمونههای یاد شده حداکثر تا قبل از آغاز سپتامبر ۲۰۲۰ ملزم به تغییر گواهینامه امنیتی خود هستند. البته تولیدکنندگان سایر مرورگرهای مطرح (از جمله موزیلا، گوگل و..) نیز باید به این حرکت اپل بپیوندند تا سایتهای بیشتری ملزم به تعویض گواهی امنیتی خود شوند.
در صورت مراجعه به سایتی که بهرغم برخورداری از HTTPS گواهی امنیتی آن به هر دلیلی از سوی مرورگری مثل سافاری با عدم تأیید روبهرو شود، پیغامی شبیه به تصویر زیر در این مرورگر نمایش داده میشود.شرکتهایی که گواهینامههای امنیتی را منتشر میکردند، در اوایل کار این گواهینامهها را با اعتبار پنج ساله در اختیار درخواستکنندگان قرار میدادند که در سال ۲۰۱۷ دوره اعتبار با توافق اعضا به ۸۲۵ روز رسید.
گواهینامه امنیتی (مرورگر سافاری)
معنی کاهش این دورهٔ زمانی برای کاربران وبسایتها این است که سایتی که در حال مرور آن هستند از آخرین استانداردهای رمزنگاری و امنیتی برای محافظت از اطلاعات و حریم شخصی آنها بهره میبرد.از طرفی توسعهدهندگان و مدیران سایتها باید زمان و توجه بیشتری را به مدیریت گواهینامههای امنیتی وبسایت(های) خود اختصاص دهند.
در این میان برخی مجموعهها مانند Let’s Encrypt که گواهیهای امنیتی رایگان را برای افزایش امنیت کاربران اینترنتی و صاحبان سایتها عرضه میکند، از ابزارهایی برای تمدید خودکار گواهینامههای امنیتی استفاده میکند. با این وجود، کاهش دوره اعتبار این گواهینامههای امنیتی که اپل آغازگر آن شده است، میتواند در کنار افزایش ضریب اعتماد کاربران به امنیت وبسایتهای مد نظرشان، نگهداری از سایتهای شخصی، شرکتی و سازمانی را اندکی مشکلتر کند.
