TLS सर्टिफिकेट की वैधता अवधि आधिकारिक रूप से घटाकर 47 दिन की जाएगी

 (digicert.com)
16 पॉइंट द्वारा GN⁺ 2025-04-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • TLS सर्टिफिकेट की वैधता अवधि में कटौती: CA/Browser Forum ने TLS सर्टिफिकेट की वैधता अवधि घटाने का फैसला किया है। 2029 तक सर्टिफिकेट की वैधता अवधि घटाकर 47 दिन कर दी जाएगी
  • ऑटोमेशन का महत्व: सर्टिफिकेट की वैधता अवधि कम होने के कारण ऑटोमेशन अनिवार्य हो जाएगा। Apple का कहना है कि सर्टिफिकेट lifecycle management के लिए ऑटोमेशन आवश्यक है
  • सर्टिफिकेट जानकारी की विश्वसनीयता की समस्या: समय के साथ सर्टिफिकेट जानकारी की विश्वसनीयता घटती जाती है, इसलिए बार-बार पुनः सत्यापन की आवश्यकता होती है
  • सर्टिफिकेट निरस्तीकरण सिस्टम की समस्याएँ: CRL और OCSP का उपयोग करने वाले सर्टिफिकेट निरस्तीकरण सिस्टम भरोसेमंद नहीं हैं, और कम वैधता अवधि इससे होने वाली समस्या को कम कर सकती है
  • लागत और ऑटोमेशन समाधान: सर्टिफिकेट बदलने की लागत वार्षिक subscription पर आधारित होती है, और ऑटोमेशन के जरिए कई बार स्वेच्छा से अधिक तेज़ replacement cycle चुना जाता है

TLS सर्टिफिकेट की वैधता अवधि में कटौती

  • CA/Browser Forum ने आधिकारिक रूप से TLS सर्टिफिकेट की वैधता अवधि घटाने का निर्णय लिया है
  • मार्च 2026 से सर्टिफिकेट की वैधता अवधि 200 दिन, 2027 में 100 दिन, और 2029 में 47 दिन रह जाएगी
  • डोमेन और IP address validation जानकारी की reuse अवधि भी 2029 तक घटाकर 10 दिन कर दी जाएगी

47 दिन का मतलब

  • 47 दिन का मतलब है 1 महीना (31 दिन) + 30 दिन का आधा (15 दिन), और 1 दिन की अतिरिक्त गुंजाइश
  • Apple ने ज़ोर देकर कहा है कि सर्टिफिकेट lifecycle management के लिए ऑटोमेशन अनिवार्य है

सर्टिफिकेट जानकारी की विश्वसनीयता की समस्या

  • समय के साथ सर्टिफिकेट जानकारी की विश्वसनीयता घटती जाती है, इसलिए बार-बार पुनः सत्यापन की ज़रूरत होती है
  • सर्टिफिकेट निरस्तीकरण सिस्टम भरोसेमंद नहीं हैं, और कम वैधता अवधि इससे होने वाली समस्या को कम कर सकती है

ऑटोमेशन की आवश्यकता

  • सर्टिफिकेट की वैधता अवधि कम होने के कारण ऑटोमेशन अनिवार्य हो जाएगा
  • DigiCert, Trust Lifecycle Manager और CertCentral के जरिए विभिन्न ऑटोमेशन समाधान प्रदान करता है

अतिरिक्त जानकारी और ब्लॉग सदस्यता

  • सर्टिफिकेट management, ऑटोमेशन, और TLS/SSL से जुड़ी नवीनतम जानकारी DigiCert ब्लॉग पर देखी जा सकती है
  • ऑटोमेशन समाधान के बारे में विस्तृत जानकारी के लिए DigiCert से संपर्क किया जा सकता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-04-17
Hacker News टिप्पणियाँ

  • "यहाँ अंतिम लक्ष्य क्या है, इसे लेकर जिज्ञासा है। मैं विरोधी राय से सहमत हूँ। फिर 30 सेकंड ही क्यों नहीं?"

    • "अगर हम उस सीमा को पार कर चुके हैं जहाँ TLS का उपयोग संभव बनाए रखने के लिए सब कुछ ऑटोमेट करना ही पड़े, तो फिर 48 घंटे से ज़्यादा की अवधि देने की क्या ज़रूरत है?"
    • "यह व्यावहारिक चीज़ से ज़्यादा एक वैचारिक मिशन जैसा लगता है। समझ नहीं आता कि क्या हर महीने पूरी infrastructure बदलवाने में कोई वित्तीय/सत्तात्मक लाभ है"

  • "बड़ी कंपनियों के साथ काम करते हुए, मैंने देखा है कि expiry समय कम होते जाने पर वे ज़्यादातर internally signed certificates इस्तेमाल कर रही हैं"

    • "Public certificates edge devices/load balancers पर इस्तेमाल होते हैं, लेकिन internal services लंबे expiry वाले internal CA-signed certificates इस्तेमाल करती हैं"
    • "क्योंकि बहुत-सी apps में certificates का इस्तेमाल झंझट भरा है"

  • "जैसा दूसरे thread में कहा गया था, इससे अपने subdomain के लिए अपना CA बनाने की संभावना खत्म हो जाएगी"

    • "Browser में built-in बड़े CA ही अपनी पसंद की अवधि वाले self-CA certificates रख पाएँगे"
    • "Security के लिहाज़ से यह दोधारी तलवार है"
    • "अगर सब लोग certificates के लगातार बदलते रहने के आदी हो जाएँ, और certificate pinning खत्म हो जाए, तो जब China या कोई company नकली certificate दे, तब उसे पहचानना मुश्किल होगा"
    • "Closed systems की जगह, दुनिया भर की हर मशीन को system updates के लिए लगभग स्थायी रूप से किसी random certificate server से जुड़ा रहना पड़ेगा"
    • "अगर Digicert या Letsencrypt servers, या 'certificate update client' hack हो जाए या उसमें security issue आ जाए, तो दुनिया के अधिकांश servers बहुत कम समय में compromise हो सकते हैं"

  • "लेख में दिया गया यह स्पष्टीकरण पढ़कर हँसी आती है"

    • "47 दिन एक मनमाना नंबर लग सकता है, लेकिन यह एक simple chain है"
    • "47 दिन = अधिकतम एक महीना (31 दिन) + 1/2 30 दिन (15 दिन) + 1 दिन की छूट"
    • "तो 47 मनमाना नहीं है, लेकिन 1 महीना, 1/2 महीना, 1 दिन मनमाना नहीं है"

  • "एक certificate authority के रूप में, ग्राहकों के सबसे आम सवालों में एक यह है कि certificates को ज़्यादा बार बदलने पर क्या अतिरिक्त लागत आएगी"

    • "जवाब है: नहीं। लागत annual subscription पर आधारित है"
    • "Digicert, ज़रा रुको। कीमत annual subscription पर आधारित है। CA की लागत वास्तव में बहुत मामूली बढ़ती है, लेकिन वह पहले से ही लगभग 0 के करीब है"
    • "CA चलाना दुनिया के सबसे आसान व्यवसायों में से एक है"

  • "हमने monitoring इस तरह set की है कि SSL certificate की expiry में 14 दिन या उससे कम बचे हों तो non-critical 'Monday तक इंतज़ार कर सकता है' warning भेजी जाए, और expiry में 48 घंटे बचे हों तो 'disturb मत करो' warning भेजी जाए"

    • "कुछ साल पहले cert-manager किसी अजीब state में फँस गया था, इसलिए अगली बार मैं पहले से पता करना चाहूँगा"

  • "काश encryption और identity certificates में इतने क़रीब से जुड़े न होते"

    • "Certificates issue करते समय हम हमेशा encryption की परवाह करते हैं, लेकिन कभी-कभी identity की नहीं"
    • "जब हमें सिर्फ encryption की परवाह होती है, तब identity की परवाह करने का अतिरिक्त बोझ भी उठाना पड़ता है"

  • "अगर यह लागू हुआ, तो क्या सभी Chromecast फिर से काम करना बंद कर देंगे?"

    • "इस साल की शुरुआत में Chromecast outage के दौरान Google की प्रतिक्रिया देखकर लगता है कि Chromecast को न्यूनतम manpower के साथ चलाया जाता है, और certificate renewal automate करने के resources शायद नहीं होंगे"

  • "Automation और short-term certificates के साथ certificate authorities, OpenID Provider जैसी हो जाएँगी"

    • "Security का अहम हिस्सा इस बात पर केंद्रित होगा कि certificate authorities domain ownership को कैसे verify करती हैं"
    • "हो सकता है clients certificates पर निर्भर हुए बिना सीधे verification कर सकें"
    • "उदाहरण के लिए, server से connect करते समय client दो unique values भेजे, और server को DNS record बनाना पड़े"
    • "यह DNS के ज़रिए authentication है। DNS system को तेज़ करना पड़ेगा"

  • "यह दो दिलचस्प जगहों पर certificate pinning पर निर्भरता को तोड़ देगा"

    • "Mobile apps"
    • "Enterprise API. बहुत-सी कंपनियाँ certificates pin करती हैं, और जब हम certificates rotate करते हैं तो शिकायत करती हैं"
    • "47 दिन की अवधि उन्हें pinning को अपने-आप rotate करने के लिए मजबूर करेगी"

  • "यहाँ धारणा यह है कि private key, उस secret/mechanism की तुलना में ज़्यादा आसानी से compromise हो सकती है जिससे certificate issue किया जाता है"

    • "उस हिस्से को लेकर मैं आश्वस्त नहीं हूँ"