کاهش طول عمر گواهی های SSL/TLS به 47 روز تا سال 2029

 

در آوریل ۲۰۲۵ انجمن CA/Browser (گروه استانداردسازی مرورگرها و مراکز صدور گواهی) با اتفاق نظر کامل (۲۹ رأی موافق، بدون رأی مخالف) طرح کاهش مرحله ای طول عمر گواهی های SSL/TLS را تصویب کرد تا نهایتاً در سال ۲۰۲۹ عمر مجاز گواهی ها به ۴۷ روز برسد. طبق این طرح، جدول زمانی اجرای تغییرات به صورت زیر تعیین شده است:

 

تاریخ اجرا حداکثر طول عمر گواهی SSL/TLS توضیحات
قبل از ۱۵ مارس ۲۰۲۶ ۳۹۸ روز وضعیت فعلی گواهی‌های SSL/TLS مطابق استاندارد مرورگرها
از ۱۵ مارس ۲۰۲۶ ۲۰۰ روز آغاز کاهش رسمی؛ افزایش دفعات تمدید و نیاز به مدیریت دقیق‌تر
از ۱۵ مارس ۲۰۲۷ ۱۰۰ روز دو برابر شدن تمدیدها نسبت به وضعیت فعلی
از ۱۵ مارس ۲۰۲۹ ۴۷ روز اجرای کامل سیاست جدید؛ خودکارسازی مدیریت گواهی‌ها ضروری می‌شود

 

بر اساس این جدول زمانی، گواهی هایی که تا پیش از ۱۵ مارس ۲۰۲۶ صادر می شوند، همچنان تا ۳۹۸ روز اعتبار خواهند داشت. پس از این تاریخ، مدت اعتبار گواهی ها به صورت مرحله ای کاهش پیدا می کند و در هر مرحله کوتاه تر می شود.

این تغییر ابتدا با پیشنهاد گوگل برای کاهش اعتبار به ۹۰ روز مطرح شد و سپس اپل عدد ۴۵ روز را پیشنهاد داد. پس از بررسی و مذاکره میان اعضا، در نهایت مدت ۴۷ روز به عنوان معیار نهایی انتخاب شد. در نتیجه این تصمیم، طی سال های آینده تعداد دفعات تمدید گواهی ها افزایش می یابد؛ به طوری که از یک بار تمدید در سال برای گواهی های ۳۹۸ روزه فعلی، به بیش از هشت بار تمدید در سال برای گواهی های ۴۷ روزه خواهد رسید.

دلایل و مزایای کاهش طول عمر گواهی ها

 

دلایل و مزایای کاهش طول عمر گواهی ها

 

هدف اصلی از کوتاه کردن عمر گواهی نامه ها، کاهش خطرات ناشی از گواهی های بلندمدت است. گواهی هایی که برای مدت طولانی معتبر باشند، ممکن است بر پایه اطلاعات منسوخ صادر شده، از الگوریتم های قدیمی استفاده کنند یا حتی پس از افشای کلید خصوصی همچنان به کار گرفته شوند.

با کاهش دوره اعتبار، زمان در دسترس مهاجمان برای بهره برداری از گواهی های آسیب دیده به حداقل می رسد و امکان به روزرسانی سریع تر استانداردهای امنیتی فراهم می شود. نکات برجسته مزایای این تغییر عبارتند از:

  • امنیت تقویت شده: تغییر مکرر کلیدهای رمزنگاری، احتمال سوءاستفاده از گواهی های افشا شده را کاهش می دهد.
  • کاهش پنجره آسیب پذیری: مدت زمانی که یک گواهی آسیب پذیر در مدار است، به خاطر کوتاه تر شدن عمر آن کم می شود.
  • پذیرش سریع تر استانداردهای جدید: سازمان ها و مرورگرها می توانند الگوریتم ها و پروتکل های رمزنگاری جدید را سریع تر به کار گیرند.
  • ساده تر شدن ابطال گواهی ها: با عمر کوتاه تر گواهی، نیاز به فرآیند پیچیده ابطال (ری ووک) کاهش می یابد.

 

چالش ها و نیاز به خودکارسازی

کاهش همزمان طول عمر گواهی ها و دوره های استفاده مجدد از اطلاعات اعتبارسنجی، بار کاری سازمان ها را به طور قابل توجهی افزایش می دهد. با تجدیدهای مکرر گواهی و نیاز به اعتبارسنجی دوباره دامنه و هویت سازمان در فواصل کوتاه، روش های دستی دیگر کارآمد نخواهند بود.

به عبارت دیگر، کوتاه شدن دوره اعتبار گواهی ها و نیاز به اعتبارسنجی مکرر باعث می شود حجم کار برای تمدید و بررسی اعتبار گواهی ها بسیار بالا برود و مدیریت دستی این فرآیند در مقیاس بزرگ غیرعملی باشد.در چنین شرایطی، خودکارسازی صدور و تمدید گواهی ها ضروری می شود. به همین دلیل بسیاری از متخصصان توصیه می کنند از پروتکل هایی مانند ACME و APIهای مدیریت گواهی استفاده شود تا چرخه زندگی گواهی ها به صورت خودکار و منظم مدیریت گردد.

 

شاید برایتان سوال باشد CA ، SSL/TLS و ACME به چه معناست

  • CA (مرکز صدور گواهی): همان “دفتر ثبت اسناد” در دنیای اینترنت که معتبر بودن سایت شما را تایید می‌کند.

  • SSL/TLS: همان قفل سبزرنگی که در نوار آدرس مرورگر می‌بینید و نشان‌دهنده امنیت سایت است.

  • ACME: یک ربات هوشمند که خودش کارهای اداری تمدید گواهی را انجام می‌دهد تا شما درگیر نشوید.

 

آمادگی سازمان ها: گزارش های وضعیت جاری

تحقیقات اخیر نشان می دهد بسیاری از سازمان ها هنوز آمادگی کافی برای تغییرات پیش رو در مدیریت گواهی های دیجیتال را ندارند. در یک نظرسنجی که توسط شرکت Sectigo از ۲۷۲ مدیر فناوری اطلاعات در سازمان های متوسط و بزرگ انجام شد، مشخص شد نزدیک به ۹۶٪ شرکت کنندگان نسبت به پیامدهای کاهش طول عمر گواهی ها نگران هستند.

با این حال تنها ۱۳٪ اطمینان داشتند که تمامی گواهی های سازمان خود را به طور کامل پیگیری می کنند و کمتر از ۲۰٪ احساس می کردند برای چرخه تمدیدهای سریع آماده هستند. همچنین، ۹۵٪ سازمان ها هنوز به روش های دستی برای مدیریت گواهی ها متکی هستند و تنها ۵٪ دارای سیستم کاملاً خودکار مدیریت گواهی می باشند.

این نتایج نشان می دهد اکثر سازمان ها در مسیر رسیدن به «چابکی رمزنگاری» (Crypto Agility) در مراحل اولیه قرار دارند.

در زمینه آمادگی برای تهدیدات پساکوانتومی، روندها کمی متفاوت است: همه شرکت ها اعلام کرده اند که در ۲ تا ۳ سال آینده قصد دارند سرمایه گذاری خود در زمینه رمزنگاری مقاوم به کوانتوم (PQC) افزایش دهند. حدود ۵۱٪ سازمان ها در حال تهیه فهرست دارایی های رمزنگاری و انجام ارزیابی ریسک مرتبط با PQC هستند، ۴۷٪ الگوریتم های پساکوانتومی را بررسی می کنند و ۴۱٪ نقشه راه مهاجرت به PQC را تدوین می نمایند. با این حال، نزدیک به ۴۳٪ سازمان ها همچنان در حالت «مکث و مشاهده» قرار دارند و اقدام عملی خود را به آینده موکول کرده اند.

چابکی رمزنگاری (Crypto Agility) یعنی توانایی یک سیستم برای تغییر سریع کدهای امنیتی‌اش بدون اینکه از کار بیفتد. مثل تعویض سریع لاستیک‌های یک ماشین مسابقه‌ای در حین حرکت.

راهکارها و توصیه‌ها

با توجه به ضرورت تمدید مکرر گواهی ها، متخصصان توصیه می کنند سازمان ها اقدامات عملی زیر را هرچه سریع‌تر اجرا کنند:

  • بازرسی وضعیت فعلی: نخستین قدم، ارزیابی وضعیت مدیریت گواهی ها در سازمان و شناسایی نقاط ضعف موجود است.

  • خودکارسازی و استفاده از ابزارها: بهره‌گیری از پروتکل ACME و APIهای مدیریت گواهی می‌تواند صدور و تمدید مداوم گواهی ها را ساده و مطمئن کند.

  • پوشش چندساله با تمدید داخلی: خرید گواهی های چندساله و تجدید مکرر آن‌ها در طول دوره پوشش، بدون ایجاد هزینه اضافی، انعطاف لازم برای همگام شدن با طول عمر کوتاه گواهی ها را فراهم می‌کند.

  • آموزش و فرهنگ‌سازی: آموزش تیم فنی درباره بهترین شیوه‌های مدیریت خودکار گواهی و پیگیری تغییرات استانداردها اهمیت بالایی دارد.

  • ردیابی و مستندسازی: فهرست‌بندی کامل گواهی ها و اطلاعات مرتبط با آن‌ها، از جمله دامنه‌ها، مهلت‌ها و اعتبارسنجی‌ها، باید اولویت سازمان باشد.

اجرای این توصیه‌ها باعث تقویت امنیت ارتباطات رمزنگاری شده می‌شود، زیرا اعتبارسنجی و کلیدها به صورت مداوم به‌روزرسانی خواهند شد. با این حال، موفقیت این طرح مستلزم آمادگی فنی و خودکارسازی گسترده است. به عبارت دیگر، کاهش طول عمر گواهی ها به ۴۷ روز امنیت را از طریق به‌روزرسانی مکرر کلیدها افزایش می‌دهد، اما بدون خودکارسازی، کارآمد نخواهد بود.

با اجرای این روش‌ها، سازمان‌ها نه تنها امنیت زیرساخت‌های رمزنگاری خود را افزایش می‌دهند، بلکه آن‌ها را برای تهدیدات آینده، از جمله تهدیدات پساکوانتومی، آماده می‌کنند.

پرسش‌های متداول

 

پرسش‌های متداول

 

سوال ۱: آیا قیمت گواهی‌های SSL با کاهش مدت اعتبار تغییر می‌کند؟
خیر، قیمت گواهی‌ها همچنان به‌صورت سالانه محاسبه می‌شود و تغییری در نحوه پرداخت ایجاد نمی‌شود.

سوال ۲: آیا گواهی‌ها همچنان به‌صورت اشتراک سالانه فروخته می‌شوند و در طول سال نیاز به صدور مجدد دارند؟
بله، گواهی‌ها به‌صورت سالانه یا چندساله فروخته می‌شوند و صدور مجدد (Re-issue) در طول دوره اشتراک انجام می‌شود.

سوال ۳: آیا صدور مجدد گواهی‌ها هزینه اضافی دارد؟
خیر، صدور مجدد در طول دوره اشتراک بدون هزینه اضافی انجام می‌شود.

سوال ۴: آیا برای صدور مجدد، اعتبارسنجی دامنه یا سازمان دوباره لازم است؟
خیر، اگر کنترل دامنه معتبر باقی بماند، نیازی به اعتبارسنجی دوباره نیست.

سوال ۵: آیا محدودیتی برای تعداد صدور مجدد در طول یک دوره اشتراک وجود دارد؟
خیر، محدودیتی وجود ندارد، اما صدور مجدد باید در محدوده همان دامنه یا مجموعه دامنه‌های گواهی انجام شود.

سوال ۶: آیا این تغییرات شامل همه انواع گواهی‌ها می‌شود؟ (DV, OV, EV, Wildcard, Multi-Domain)
بله، تمام انواع گواهی‌های SSL شامل این تغییرات می‌شوند.

سوال ۷: اگر فراموش کنم گواهی را در این بازه کوتاه تمدید کنم چه می‌شود؟

سایت شما بلافاصله با خطای Not Secure مواجه می‌شود، ورودی گوگل خود را از دست می‌دهید و مشتریان نمی‌توانند به شما اعتماد کنند. به همین دلیل تکیه بر ایمیل یادآوری دیگر کافی نیست و باید به سمت خودکارسازی بروید

سوال ۸: آیا این تغییرات روی قراردادهای فعلی، طبقه‌بندی قیمت‌ها یا موجودی گواهی‌های فعلی تاثیر دارد؟
خیر، موجودی فعلی و قراردادهای موجود تحت تاثیر قرار نمی‌گیرند.

ثبت رای
جستجو

سرفصل های مقاله

دسته بندی مقالات

آخرین مقالات آموزشی

نظرات کاربران
دیدگاهتان را بنویسید

لطفا علاوه بر متن نظر، نام و ایمیل خود را نیز وارد کنید. (ایمیل شما منتشر نخواهد شد)