26 يوليو، 2019 جوجل تقليل الحد الأقصى لفترة صلاحية شهادات خادم SSL/TLS من 825 يومًا الحالية إلى 397 يومًا (حوالي 13 شهرًا)، أي بمقدار النصف تقريبًا. تعتقد Google أن الأتمتة الكاملة للإجراءات باستخدام الشهادات هي وحدها القادرة على التخلص من المشكلات الأمنية الحالية، والتي غالبًا ما تُعزى إلى العوامل البشرية. ولذلك، من الناحية المثالية، ينبغي للمرء أن يسعى جاهدا للإصدار الآلي للشهادات قصيرة الأجل.
تم طرح هذه المشكلة للتصويت في CA/Browser Forum (CABF)، الذي يحدد متطلبات شهادات SSL/TLS، بما في ذلك فترة الصلاحية القصوى.
ثم 10 سبتمبر : صوت أعضاء الكونسورتيوم против الاقتراحات.
النتائج
تصويت جهة إصدار الشهادة
ل (11 صوت): Amazon، Buypass، Certigna (DHIMYOTIS)، certSIGN، Sectigo (Comodo CA سابقًا)، eMudhra، Kamu SM، Let's Encrypt، Logius، PKIoverheid، SHECA، SSL.com
ضد (20): Camerfirma، Certum (Asseco)، CFCA، Chunghwa Telecom، Comsign، D-TRUST، DarkMatter، Entrust Datacard، Firmaprofesional، GDCA، GlobalSign، GoDaddy، Izenpe، Network Solutions، OATI، SECOM، SwissSign، TWCA، TrustCor، SecureTrust (سابقًا موجة الثقة)
امتنع (2): هاريكا، تورك تراست
شهادة تصويت المستهلكين
ل (7): أبل، سيسكو، جوجل، مايكروسوفت، موزيلا، أوبرا، 360
ضد: 0
امتنع: 0
وفقًا لقواعد CA/Browser Forum، يجب أن تتم الموافقة على الشهادة من قبل ثلثي مصدري الشهادات و50% بالإضافة إلى صوت واحد بين المستهلكين.
ممثلو شركة ديجيكرت لتخطي التصويت، حيث كانوا سيصوتون لصالح تخفيض مدة صلاحية الشهادات. ويشيرون إلى أنه بالنسبة لبعض العملاء، قد تمثل المدة الأقصر مشكلة، ولكن هناك فوائد أمنية على المدى الطويل.
بطريقة أو بأخرى، الصناعة ليست مستعدة بعد لتقصير فترة صلاحية الشهادات والتحول الكامل إلى الحلول الآلية. يمكن لسلطات التصديق نفسها تقديم مثل هذه الخدمات، لكن العديد من العملاء لم ينفذوا الأتمتة بعد. ولذلك، تم تأجيل تخفيض الموعد النهائي إلى 397 يومًا في الوقت الحالي. لكن السؤال يبقى مفتوحا.
والآن قد تحاول جوجل تطبيق المعيار "قسرا"، كما فعلت مع البروتوكول . علاوة على ذلك، فهو مدعوم أيضًا من قبل مطورين آخرين: Apple، وMicrosoft، وMozilla، وOpera.
دعونا نتذكر أن الأتمتة الكاملة هي أحد المبادئ التي يقوم عليها عمل مركز الشهادات غير الربحي Let's Encrypt. تُصدر شهادات مجانية للجميع، لكن الحد الأقصى لعمر الشهادة يقتصر على 90 يومًا. الشهادات لها عمر قصير :
- الحد من الأضرار الناجمة عن المفاتيح المخترقة والشهادات الصادرة بشكل غير صحيح، حيث يتم استخدامها خلال فترة زمنية أقصر؛
- تدعم الشهادات قصيرة العمر وتشجع الأتمتة، وهو أمر ضروري للغاية لسهولة استخدام HTTPS. إذا كنا سنقوم بترحيل شبكة الويب العالمية بأكملها إلى HTTPS، فلا يمكننا أن نتوقع من مسؤول كل موقع موجود تحديث الشهادات يدويًا. بمجرد أن يصبح إصدار الشهادات وتجديدها آليًا بالكامل، سيصبح عمر الشهادة الأقصر أكثر ملاءمة وعملية.
وأظهر أن 73,7% من المستطلعين "يؤيدون" تقصير مدة صلاحية الشهادات.
أما بالنسبة لإخفاء أيقونة EV الخاصة بشهادات SSL في شريط العناوين، فلم يصوت الكونسورتيوم على هذه المسألة، لأن مسألة واجهة مستخدم المتصفح تقع بالكامل ضمن اختصاص المطورين. في الفترة من سبتمبر إلى أكتوبر، سيتم إصدار إصدارات جديدة من Chrome 77 وFirefox 70، مما سيحرم شهادات EV من مكان خاص في شريط عناوين المتصفح. إليك ما يبدو عليه التغيير باستخدام إصدار سطح المكتب من Firefox 70 كمثال:
كان:
سوف يكون:
وفقًا للخبير الأمني تروي هانت، فإن إزالة معلومات EV من شريط عناوين المتصفحات .
المصدر: www.habr.com