26. jul 2019. Google
Pitanje je stavljeno na glasanje na CA/Browser Forumu (CABF), koji postavlja zahtjeve za SSL/TLS certifikate, uključujući maksimalni period važenja.
A onda 10. septembra
Rezulʹtaty
Glasanje izdavaoca certifikata
Za (11 glasova): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (bivši Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Protiv (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust ( Trustwave)
Uzdržani (2): HARICA, TurkTrust
Glasanje potrošača certifikata
za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Protiv: 0
Uzdržan: 0
Prema pravilima CA/Browser Foruma, certifikat mora odobriti dvije trećine izdavaoca certifikata i 50% plus jedan glas među potrošačima.
Predstavnici Digicerta
Na ovaj ili onaj način, industrija još nije spremna skratiti rok važenja certifikata i u potpunosti preći na automatizirana rješenja. I sami certifikacijski organi mogu ponuditi takve usluge, ali mnogi klijenti još uvijek nisu implementirali automatizaciju. Stoga se za sada odgađa smanjenje roka na 397 dana. Ali pitanje ostaje otvoreno.
Sada bi Google mogao pokušati implementirati standard "prisilno", kao što je to učinio sa protokolom
Podsjetimo, potpuna automatizacija je jedan od principa na kojem se zasniva rad neprofitnog sertifikacionog centra Let's Encrypt. Svima izdaje besplatne certifikate, ali maksimalni vijek trajanja certifikata je ograničen na 90 dana. Certifikati imaju kratak vijek trajanja
- ograničavanje štete od kompromitovanih ključeva i neispravno izdatih sertifikata, jer se koriste u kraćem vremenskom periodu;
- kratkotrajni certifikati podržavaju i potiču automatizaciju, što je apsolutno neophodno za jednostavno korištenje HTTPS-a. Ako ćemo cijeli World Wide Web migrirati na HTTPS, onda ne možemo očekivati da će administrator svake postojeće stranice ručno ažurirati certifikate. Kada izdavanje i obnavljanje certifikata postanu potpuno automatizirani, kraći vijek trajanja certifikata postat će praktičniji i praktičniji.
Što se tiče skrivanja EV ikone za SSL sertifikate u adresnoj traci, konzorcijum nije glasao o ovom pitanju, jer je pitanje korisničkog interfejsa pretraživača u potpunosti u nadležnosti programera. U septembru-oktobru će biti objavljene nove verzije Chrome 77 i Firefox 70, koje će lišiti EV certifikate posebnog mjesta u adresnoj traci pretraživača. Evo kako promjena izgleda na primjeru desktop verzije Firefoxa 70:
Bilo je:
Will:
Prema mišljenju stručnjaka za sigurnost Troya Hunta, uklanjanje informacija o EV-u iz adresne trake pretraživača
izvor: www.habr.com