26 de juliol de 2019 Google
El problema es va sotmetre a votació al CA/Browser Forum (CABF), que estableix els requisits per als certificats SSL/TLS, inclòs el període màxim de validesa.
I després el 10 de setembre
Troballes
Votació de l'emissor del certificat
Per (11 vots): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (abans Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
En contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (antiga Onda de confiança)
Abstenció (2): HARICA, TurkTrust
Certificat de vot dels consumidors
Per (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contra: 0
Es va abstenir: 0
Segons les regles del CA/Browser Forum, un certificat ha de ser aprovat per dos terços dels emissors de certificats i el 50% més un vot entre els consumidors.
Representants de Digicert
D'una manera o altra, la indústria encara no està preparada per escurçar el període de validesa dels certificats i canviar completament a solucions automatitzades. Les mateixes autoritats de certificació poden oferir aquests serveis, però molts clients encara no han implementat l'automatització. Per tant, de moment s'ajorna la reducció del termini a 397 dies. Però la pregunta continua oberta.
Ara Google pot intentar implementar l'estàndard "a la força", com va fer amb el protocol
Recordem que l'automatització total és un dels principis en què es basa el treball del centre de certificació sense ànim de lucre Let's Encrypt. Emet certificats gratuïts per a tothom, però la vida útil màxima d'un certificat està limitada a 90 dies. Els certificats tenen una vida útil curta
- limitar els danys de claus compromeses i certificats emesos incorrectament, ja que s'utilitzen durant un període de temps més curt;
- Els certificats de curta durada admeten i fomenten l'automatització, que és absolutament necessària per a la facilitat d'ús d'HTTPS. Si migrarem tota la World Wide Web a HTTPS, no podem esperar que l'administrador de cada lloc existent actualitzi manualment els certificats. Una vegada que l'emissió i les renovacions de certificats estiguin totalment automatitzades, la vida útil dels certificats més curta serà més convenient i pràctica.
Pel que fa a amagar la icona EV dels certificats SSL a la barra d'adreces, el consorci no va votar sobre aquest tema, perquè el tema de la interfície d'usuari del navegador és totalment competència dels desenvolupadors. De setembre a octubre, es llançaran noves versions de Chrome 77 i Firefox 70, que privaran els certificats EV d'un lloc especial a la barra d'adreces del navegador. A continuació es mostra com es veu el canvi utilitzant la versió d'escriptori de Firefox 70 com a exemple:
Era:
Voluntat:
Segons l'expert en seguretat Troy Hunt, eliminant la informació d'EV de la barra d'adreces dels navegadors
Font: www.habr.com