26 ліпеня 2019 года кампанія Google
Пытанне паставілі на галасаванне ў арганізацыі CA/Browser Forum (CABF), якая ўстанаўлівае патрабаванні да SSL/TLS-сертыфікатаў, у тым ліку да максімальнага тэрміну дзеяння.
І вось 10 верасня
Вынікі
Галасаванне выдаўцоў сертыфікатаў
За (11 галасоў): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (былы Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Супраць (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofessional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, Tru Trustwave)
Устрымаліся (2): HARICA, TurkTrust
Галасаванне спажыўцоў сертыфікатаў
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
супраць: 0
Устрымалася: 0
Па правілах CA / Browser Forum, для прыняцця станоўчага рашэння за яго павінны прагаласаваць дзве траціны выдаўцоў сертыфікатаў і 50% плюс адзін голас сярод спажыўцоў.
Прадстаўнікі Digicert
Так ці інакш, але індустрыя пакуль не гатова скарачаць тэрміны дзеяння сертыфікатаў і цалкам пераходзіць на аўтаматызаваныя рашэнні. Самі цэнтры сертыфікацыі могуць прапанаваць такія паслугі, але многія кліенты пакуль не ўкаранілі аўтаматызацыю. Таму скарачэнне тэрмінаў да 397 дзён пакуль адкладаецца. Але пытанне застаецца адкрытым.
Цяпер Google можа паспрабаваць укараніць стандарт "прымусова", як гэта было з пратаколам.
Нагадаем, што поўная аўтаматызацыя - адзін з прынцыпаў на якім заснаваная праца некамерцыйнага цэнтра сертыфікацыі Let’s Encrypt. Ён выдае бясплатныя сертыфікаты ўсім ахвочым, але максімальны тэрмін жыцця сертыфіката абмежаваны 90 днямі. Кароткія часы жыцця сертыфікатаў маюць
- абмежаванне шкоды ад кампраметаваных ключоў і няправільна выпушчаных сертыфікатаў, бо яны выкарыстоўваюцца на меншым прамежку часу;
- караткажывучыя сертыфікаты падтрымліваюць і заахвочваюць аўтаматызацыю, якая абсалютна неабходна для прастаты выкарыстання HTTPS. Калі мы збіраемся міграваць усю Сусветную павуціну на HTTPS, то зусім нельга чакаць ручнога абнаўлення сертыфікатаў ад адміністратара кожнага існуючага сайта. Як толькі выпуск і абнаўленні сертыфікатаў стане цалкам аўтаматызаваным, карацейшыя часы жыцця сертыфікатаў наадварот стануць зручнейшымі і практычнымі.
Што тычыцца ўтойвання значка EV для SSL-сертыфікатаў у адрасным радку, па гэтым пытанні кансорцыум не галасаваў, таму што пытанне UI браўзэраў знаходзіцца цалкам у кампетэнцыі распрацоўшчыкаў. У верасні-кастрычніку выйдуць новыя версіі Chrome 77 і Firefox 70, якія пазбавяць EV-сертыфікаты асаблівага месца ў адрасным радку браўзэра. Вось як выглядае змена на прыкладзе дэсктопнай версіі Firefox 70:
было:
Будзе:
На думку спецыяліста па бяспецы Троя Ханта, выдаленне інфармацыі EV з адраснага радка браўзэраў
Крыніца: habr.com