26. jul 2019. Google dao predlog smanjiti maksimalni period važenja SSL/TLS serverskih certifikata sa trenutnih 825 dana na 397 dana (oko 13 mjeseci), odnosno za otprilike polovinu. Google vjeruje da će se samo potpuna automatizacija radnji s certifikatima riješiti trenutnih sigurnosnih problema, koji se često pripisuju ljudskim faktorima. Stoga, u idealnom slučaju, treba težiti automatizovanom izdavanju kratkotrajnih sertifikata.

Pitanje je stavljeno na glasanje na CA/Browser Forumu (CABF), koji postavlja zahtjeve za SSL/TLS certifikate, uključujući maksimalni period važenja.

A onda 10. septembra objavljeni rezultati: glasali članovi konzorcijuma protiv ponude.

Rezulʹtaty

Glasanje izdavaoca certifikata

Za (11 glasova): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (bivši Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Protiv (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust ( Trustwave)

Uzdržani (2): HARICA, TurkTrust

Glasanje potrošača certifikata

za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Protiv: 0

Uzdržan: 0

Prema pravilima CA/Browser Foruma, certifikat mora odobriti dvije trećine izdavaoca certifikata i 50% plus jedan glas među potrošačima.

Predstavnici Digicerta izvinio se za preskakanje glasanja, gdje bi glasali za smanjenje roka važenja potvrda. Napominju da za neke kupce kraće trajanje može biti problem, ali postoje dugoročne sigurnosne prednosti.

Na ovaj ili onaj način, industrija još nije spremna skratiti rok važenja certifikata i u potpunosti preći na automatizirana rješenja. I sami certifikacijski organi mogu ponuditi takve usluge, ali mnogi klijenti još uvijek nisu implementirali automatizaciju. Stoga se za sada odgađa smanjenje roka na 397 dana. Ali pitanje ostaje otvoreno.

Sada bi Google mogao pokušati implementirati standard "prisilno", kao što je to učinio sa protokolom Transparentnost certifikata. Štaviše, podržavaju ga i drugi programeri: Apple, Microsoft, Mozilla i Opera.

Podsjetimo, potpuna automatizacija je jedan od principa na kojem se zasniva rad neprofitnog sertifikacionog centra Let's Encrypt. Svima izdaje besplatne certifikate, ali maksimalni vijek trajanja certifikata je ograničen na 90 dana. Certifikati imaju kratak vijek trajanja dvije glavne prednosti:

1. ograničavanje štete od kompromitovanih ključeva i neispravno izdatih sertifikata, jer se koriste u kraćem vremenskom periodu;
2. kratkotrajni certifikati podržavaju i potiču automatizaciju, što je apsolutno neophodno za jednostavno korištenje HTTPS-a. Ako ćemo cijeli World Wide Web migrirati na HTTPS, onda ne možemo očekivati ​​da će administrator svake postojeće stranice ručno ažurirati certifikate. Kada izdavanje i obnavljanje certifikata postanu potpuno automatizirani, kraći vijek trajanja certifikata postat će praktičniji i praktičniji.

GlobalSign anketa na Habréu pokazalo je da 73,7% ispitanika „radije podržava“ skraćivanje roka važenja sertifikata.

Što se tiče skrivanja EV ikone za SSL sertifikate u adresnoj traci, konzorcijum nije glasao o ovom pitanju, jer je pitanje korisničkog interfejsa pretraživača u potpunosti u nadležnosti programera. U septembru-oktobru će biti objavljene nove verzije Chrome 77 i Firefox 70, koje će lišiti EV certifikate posebnog mjesta u adresnoj traci pretraživača. Evo kako promjena izgleda na primjeru desktop verzije Firefoxa 70:

Bilo je:

Will:

Prema mišljenju stručnjaka za sigurnost Troya Hunta, uklanjanje informacija o EV-u iz adresne trake pretraživača zapravo zakopava ovu vrstu certifikata.

izvor: www.habr.com