Muudatused kiitis heaks CA/Browser Forum, tööstusorganisatsioon, mis määrab turvastandardid sertifitseerimiskeskustele ja veebilehitsejate arendajatele.

Praktikas tähendab see, et SSL-sertifikaadi kehtivusaeg lüheneb järk-järgult ja sertifikaate tuleb uuendada sagedamini.

Vaatame, mis täpselt muutub ja kas veebilehtede omanikel on vaja midagi teha.

Kui teie veebilehel ei ole veel SSL-i, saate kasutada tasuta Let’s Encrypt sertifikaati või laiendatud kontrolliga kommertssertifikaati. Rohkem infot saadaolevate võimaluste kohta leiate lehelt SSL-sertifikaadid.

Mis muutub?

Peamine muudatus puudutab SSL-sertifikaatide maksimaalset kehtivusaega.

Üleminek toimub järk-järgult:

Selle tulemusena liigub kogu valdkond järk-järgult aastastelt sertifikaatidelt sertifikaatidele, mille kehtivusaeg on vaid mõni nädal.

Samuti lühendatakse domeeni valideerimise korduskasutuse perioodi. See tähendab, et sertifitseerimiskeskused kontrollivad domeeni omandiõigust sagedamini.

Miks SSL-i kehtivusaega lühendatakse?

Peamine põhjus on interneti turvalisuse parandamine.

Mida kauem sertifikaat kehtib, seda rohkem aega on ründajatel juhul, kui privaatvõti kompromiteeritakse või tekib konfiguratsiooniviga. Lühem kehtivusaeg võimaldab potentsiaalselt haavatavad sertifikaadid kiiremini asendada.

On ka teisi põhjuseid:

• kiirem üleminek uutele krüptograafilistele algoritmidele
• sagedasem domeeni omandiõiguse kontroll
• infrastruktuuri ettevalmistamine tulevasteks turvastandarditeks

Kas SSL-sertifikaate tuleb sagedamini osta?

Ei. Lühem kehtivusaeg ei tähenda suuremaid kulusid.

Kommertssertifikaatide pakkujad kasutavad juba tellimusmudelit. Sertifikaat ostetakse näiteks üheks või kaheks aastaks ja selle perioodi jooksul saab seda mitu korda tasuta uuesti väljastada.

Näiteks:

• sertifikaat ostetakse üheks aastaks
• esimene sertifikaat kehtib umbes 200 päeva
• seejärel väljastatakse uus sertifikaat ülejäänud perioodiks

Seda protsessi nimetatakse reissue ja see on tavapärane praktika.

Mida see tähendab veebilehtede omanikele?

Peamine praktiline muutus on see, et sertifikaate tuleb uuendada sagedamini.

Ligikaudne uuendamise sagedus:

• 2026. aastal umbes kaks korda aastas
• 2027. aastal kolm kuni neli korda aastas
• pärast 2029. aastat võib uuendamine toimuda iga paari nädala tagant

Kui SSL-sertifikaadid paigaldatakse käsitsi, suureneb oht, et nende uuendamine ununeb.

Miks automaatne SSL uuendamine muutub standardiks?

Kaasaegne veebiinfrastruktuur tugineb üha rohkem automatiseerimisele.

Kui sertifikaat aegub, hakkavad veebilehitsejad kuvama turvahoiatust. See võib põhjustada külastajate kaotuse ja vähendada usaldust veebilehe vastu.

Seetõttu kasutab enamik hostinguteenuseid automaatset SSL-haldust.

Näiteks tasuta Let’s Encrypt sertifikaadid saavad automaatselt:

• väljastatud
• serverisse paigaldatud
• enne aegumist uuendatud

Veebimajutuse paketis saab selliseid sertifikaate tavaliselt aktiveerida juhtpaneelist ja need uuenevad automaatselt.

Kas hostingukliendid peavad midagi tegema?

Enamasti mitte.

Kui kasutate tasuta Let’s Encrypt SSL-sertifikaati hostingupaneeli kaudu, väljastatakse ja uuendatakse see automaatselt ning veebilehe omanik ei pea midagi tegema.

Kommerts SSL-sertifikaadid (näiteks OV või EV) nõuavad tavaliselt käsitsi paigaldamist ja perioodilist uuesti väljastamist. Ka nende kehtivusaeg lüheneb vastavalt uutele reeglitele.

Millal tasub tähelepanu pöörata?

SSL-seadistust tasub kontrollida järgmistel juhtudel:

• sertifikaat paigaldatakse serverisse käsitsi
• kasutatakse kommerts OV või EV sertifikaate
• sertifikaate hallatakse ettevõtte sisese infrastruktuuri kaudu

Sellisel juhul on soovitatav seadistada sertifikaatide automaatne uuendamine.

Kokkuvõte

Alates märtsist 2026 väheneb SSL-sertifikaatide maksimaalne kehtivusaeg 200 päevani. Tulevikus muutub see periood veelgi lühemaks.

See on osa ülemaailmsest suunast, kus sertifikaate uuendatakse sagedamini ja turvalisuse haldamine muutub üha automatiseeritumaks.

Enamiku veebilehtede omanike jaoks toimuvad need muudatused märkamatult, eriti kui SSL-sertifikaate hallatakse hostingupaneeli kaudu.

Kas vajate SSL-sertifikaati oma veebilehele?

Meie hostingus saate kasutada tasuta Let’s Encrypt sertifikaate automaatse uuendamisega ning ka kommertssertifikaate projektidele, mis vajavad laiendatud valideerimist.

Vaata SSL-sertifikaate

Muudatused seoses WHOIS-põhise domeeni kinnitamisega toimuvad 2025. aasta esimesel poolel.

2024. aasta augustis avastasid teadlased, et vananenud WHOIS-andmete kasutamine domeeni omandiõiguse kontrollimiseks (DCV) võib viia SSL/TLS-sertifikaatide petturlike domeeni omandi konnotamisteni. Kuigi konkreetse haavatavuse ulatus oli piiratud, tekitas see kahtlusi selle kohta, kui turvaline on tugineda domeeni kinnitamisel teatud pärandressurssidele.

Sertifitseerimiskeskused (CA-d) hakkavad järk-järgult kaotama WHOIS-põhiseid DCV meetodeid. Selle tulemusena ei kasutata enam WHOIS-protokolli või HTTPS-i serveri päringuandmeid 1) domeeni kontaktide tuvastamise või 2) domeeni subjekti kontrollimise viisina.

Esimene etapp: 15. jaanuar 2025
CA-del on keelatud tugineda erinevate WHOIS-i andmete otsingumeetodite kaudu kogutud domeeni kontaktteabele.

Teine etapp: 15. juuli 2025
CA-d ei tohi enam kasutada uute sertifikaatide väljastamiseks ega varasemate volituste taaskasutamiseks (isegi kehtiva taaskasutusperioodi jooksul) ühelegi WHOIS-iga seotud domeeni kinnitusmeetodile.

Mida see kõik teie organisatsiooni jaoks tähendab?

Kui te ei kasuta domeeni omandiõiguse kinnitamiseks WHOIS-i teavet
Kui teie domeeni kinnitamiseks kasutati muud meetodit kui WHOIS-i veebiotsing, näiteks DNS-i TXT-kirjed, faili kinnitamine või meiliaadressi kaudu kinnitamine (nt administraator@domeen.com), ei mõjuta see teid ega teie sertifikaate mis tahes viisil.

Kui kasutasite domeeni juhtimise kontrollimiseks WHOIS-i andmeid
Kui kasutasite veebisaidi turvasertifikaadi hankimisel oma domeeni kinnitamiseks oma WHOIS-i e-posti aadressi, peate uue SSL/TLS-sertifikaadi taotlemisel oma kinnitusmeetodeid muutma.

Enamiku klientide jaoks on lihtsaim viis kasutada üht kinnitusmeili aadressidest:

• admin@yourdomain.com
• administraator@yourdomain.com
• webmaster@yourdomain.com
• hostmaster@yourdomain.com
• postmaster@yourdomain.com

Alternatiivsed meetodid domeeni omanduse kontrollimiseks hõlmavad failipõhiseid ja DNS-põhiseid kinnitusmeetodeid:

• DNS TXT kirjed
• DNS-i CNAME (kanooniline nimi) kirjed, mis seovad pseudonüümi ühe või mitme teise domeeniga
• HTTP-faili autentimine

Core.Hosting pakub laia valikut sertifikaate peamistelt sertifitseerimiskeskustelt: RapidSSL, GeoTrust, Thawte, Sectigo, DigiCert.

Sertifikaadi saate osta mitte ainult meie pakutava serveri või hostingu kaitsmiseks, vaid ka muude teenuste/serverite jaoks, mida erinevatelt pakkujatelt kasutate. Samuti saate meilt tellida SSL-i installiteenuse, et teie sertifikaat oleks õigesti installitud.

Muudatus loodi vastuseks murele, et hostipõhine omaniku valideerimine ei ole piisavalt tugev viis näidata, et kellelgi on kontroll domeeni kogu nimeruumi üle. Lõppkokkuvõttes parandab see muudatus alamdomeenide ja seega ka veebikasutajate turvalisust üldiselt.

Enne ametlikku alguskuupäeva valmistumiseks ja kohanemiseks ei luba suuremad CA-d, nagu DigiCert ja Sectigo, alates 15. novembrist enam wildcard sertifikaatide jaoks failipõhist DCV-d. Pärast seda saavad kasutajad kasutada DCV teostamiseks ainult e-posti ja DNS-i valideerimismeetodeid.

Usaldusväärse nõustajana tahame teid teavitada DigiCert’i eelseisvast hooldustööst. Nende sisesüsteemide suuremad uuendused on kavandatud 6. aprilliks 2019.

Hooldustööd kestavad eeldatavasti umbes 12 tundi, alates 6. aprillist kell 17.30 kuni 7. aprillini kell 5:30. Selle aja jooksul saate tellida DigiCert’i tooteid, kuid genereerimise ajal esineb vigu. Juba genereeritud tellimuste ja ootel oleku korral jätkub valideerimine pärast hooldutööde lõpetamist.

Täname teid kannatlikkuse eest.

Miks muudeti brändi nimi?

Francisco Partners ostis Comodo Group-i juba 2017 aasta sügisel. Firma tegevus jätkus samades turgudes ning pakutud teenuseid polnud samuti muudetud. Otsus vahetada brändi nime võeti vastu selleks, et vältida segadust ja tagada maksimaalset turvalisust igas suuruses ettevõtetele.

Mida täpsemalt muudeti?

Esmasel silmapilgul võib see tunduda lihtsa brändi nime ja logo muutmisena, kuid selle taga peitub palju rohkemat. Siin on lühiülevaade kõikidest muudatustest:

Uus brändi nimi

Comodo CA uueks nimeks on nüüd ametlikult Sectigo. Uus nimi aitab eristada firmat tema eelkäijatest ning vältida segadust.

Uued logod

Firma on saanud endale uue nimega ka uued logod. Logodele tuleb ka alapealkiri “eelnevalt Comodo CA ” kuid see püsib ainult 2019 Novembri lõpuni.

Uus bränd

Uus bränd vastab täiuslikkumale veebiturvalisuse teenusele. Uued logod on tehtud ka EnterpriseSSL, InstantSSL ning PositiveSSL jaoks.

Ümbernimetatud tooted

Kõik tooted ja teenused nimetatakse samuti ümber uue firmanimega kokku sobimiseks. Näiteks, muutub “Comodo EV SSL” “Sectigo SSL EV”-ks ning “Comodo SSL Wildcard” “Sectigo SSL Wildcard”-iks.

Oleme valmis teid aitama enda jaoks sobiva sertifikaadi leidmisega.