26 ліпеня 2019 года кампанія Google паменшыць максімальны тэрмін дзеяння серверных сертыфікатаў SSL/TLS з цяперашніх 825 дзён да 397 дзён (каля 13 месяцаў), гэта значыць прыкладна ўдвая. Google лічыць, што толькі поўная аўтаматызацыя дзеянняў з сертыфікатамі дасць магчымасць пазбавіцца ад цяперашніх праблем з бяспекай, якія часта тлумачацца чалавечым фактарам. Таму ў ідэале трэба імкнуцца да аўтаматызаванай выдачы караткажывучых сертыфікатаў.
Пытанне паставілі на галасаванне ў арганізацыі CA/Browser Forum (CABF), якая ўстанаўлівае патрабаванні да SSL/TLS-сертыфікатаў, у тым ліку да максімальнага тэрміну дзеяння.
І вось 10 верасня : члены кансорцыума прагаласавалі супраць прапановы.
Вынікі
Галасаванне выдаўцоў сертыфікатаў
За (11 галасоў): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (былы Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Супраць (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofessional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, Tru Trustwave)
Устрымаліся (2): HARICA, TurkTrust
Галасаванне спажыўцоў сертыфікатаў
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
супраць: 0
Устрымалася: 0
Па правілах CA / Browser Forum, для прыняцця станоўчага рашэння за яго павінны прагаласаваць дзве траціны выдаўцоў сертыфікатаў і 50% плюс адзін голас сярод спажыўцоў.
Прадстаўнікі Digicert за пропуск галасавання, дзе б аддалі свой голас на карысць скарачэння тэрміну дзеяння сертыфікатаў. Яны адзначаюць, што для некаторых кліентаў скарачэнне тэрміну дзеяння можа ўявіць сабой праблему, але ў доўгатэрміновай перспектыве гэта дае перавагі для бяспекі.
Так ці інакш, але індустрыя пакуль не гатова скарачаць тэрміны дзеяння сертыфікатаў і цалкам пераходзіць на аўтаматызаваныя рашэнні. Самі цэнтры сертыфікацыі могуць прапанаваць такія паслугі, але многія кліенты пакуль не ўкаранілі аўтаматызацыю. Таму скарачэнне тэрмінаў да 397 дзён пакуль адкладаецца. Але пытанне застаецца адкрытым.
Цяпер Google можа паспрабаваць укараніць стандарт "прымусова", як гэта было з пратаколам. . Тым больш, што яе падтрымліваюць і іншыя распрацоўшчыкі: Apple, Microsoft, Mozilla і Opera.
Нагадаем, што поўная аўтаматызацыя - адзін з прынцыпаў на якім заснаваная праца некамерцыйнага цэнтра сертыфікацыі Let’s Encrypt. Ён выдае бясплатныя сертыфікаты ўсім ахвочым, але максімальны тэрмін жыцця сертыфіката абмежаваны 90 днямі. Кароткія часы жыцця сертыфікатаў маюць :
- абмежаванне шкоды ад кампраметаваных ключоў і няправільна выпушчаных сертыфікатаў, бо яны выкарыстоўваюцца на меншым прамежку часу;
- караткажывучыя сертыфікаты падтрымліваюць і заахвочваюць аўтаматызацыю, якая абсалютна неабходна для прастаты выкарыстання HTTPS. Калі мы збіраемся міграваць усю Сусветную павуціну на HTTPS, то зусім нельга чакаць ручнога абнаўлення сертыфікатаў ад адміністратара кожнага існуючага сайта. Як толькі выпуск і абнаўленні сертыфікатаў стане цалкам аўтаматызаваным, карацейшыя часы жыцця сертыфікатаў наадварот стануць зручнейшымі і практычнымі.
паказаў, што 73,7% рэспандэнтаў "хутчэй падтрымліваюць" скарачэнне тэрміну дзеяння сертыфікатаў.
Што тычыцца ўтойвання значка EV для SSL-сертыфікатаў у адрасным радку, па гэтым пытанні кансорцыум не галасаваў, таму што пытанне UI браўзэраў знаходзіцца цалкам у кампетэнцыі распрацоўшчыкаў. У верасні-кастрычніку выйдуць новыя версіі Chrome 77 і Firefox 70, якія пазбавяць EV-сертыфікаты асаблівага месца ў адрасным радку браўзэра. Вось як выглядае змена на прыкладзе дэсктопнай версіі Firefox 70:
было:
Будзе:
На думку спецыяліста па бяспецы Троя Ханта, выдаленне інфармацыі EV з адраснага радка браўзэраў .
Крыніца: habr.com