26 de juliol de 2019 Google reduir el període màxim de validesa dels certificats de servidor SSL/TLS dels 825 dies actuals a 397 dies (uns 13 mesos), és a dir, a la meitat aproximadament. Google creu que només una automatització completa de les accions amb certificats eliminarà els problemes de seguretat actuals, que sovint s'atribueixen a factors humans. Per tant, idealment, s'hauria d'esforçar per l'emissió automatitzada de certificats de curta durada.
El problema es va sotmetre a votació al CA/Browser Forum (CABF), que estableix els requisits per als certificats SSL/TLS, inclòs el període màxim de validesa.
I després el 10 de setembre : els membres del consorci van votar против ofertes.
Troballes
Votació de l'emissor del certificat
Per (11 vots): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (abans Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
En contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (antiga Onda de confiança)
Abstenció (2): HARICA, TurkTrust
Certificat de vot dels consumidors
Per (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contra: 0
Es va abstenir: 0
Segons les regles del CA/Browser Forum, un certificat ha de ser aprovat per dos terços dels emissors de certificats i el 50% més un vot entre els consumidors.
Representants de Digicert per saltar-se la votació, on haurien votat a favor de la reducció del període de validesa dels certificats. Apunten que per a alguns clients, la durada més curta pot ser un problema, però hi ha avantatges de seguretat a llarg termini.
D'una manera o altra, la indústria encara no està preparada per escurçar el període de validesa dels certificats i canviar completament a solucions automatitzades. Les mateixes autoritats de certificació poden oferir aquests serveis, però molts clients encara no han implementat l'automatització. Per tant, de moment s'ajorna la reducció del termini a 397 dies. Però la pregunta continua oberta.
Ara Google pot intentar implementar l'estàndard "a la força", com va fer amb el protocol . A més, també és compatible amb altres desenvolupadors: Apple, Microsoft, Mozilla i Opera.
Recordem que l'automatització total és un dels principis en què es basa el treball del centre de certificació sense ànim de lucre Let's Encrypt. Emet certificats gratuïts per a tothom, però la vida útil màxima d'un certificat està limitada a 90 dies. Els certificats tenen una vida útil curta :
- limitar els danys de claus compromeses i certificats emesos incorrectament, ja que s'utilitzen durant un període de temps més curt;
- Els certificats de curta durada admeten i fomenten l'automatització, que és absolutament necessària per a la facilitat d'ús d'HTTPS. Si migrarem tota la World Wide Web a HTTPS, no podem esperar que l'administrador de cada lloc existent actualitzi manualment els certificats. Una vegada que l'emissió i les renovacions de certificats estiguin totalment automatitzades, la vida útil dels certificats més curta serà més convenient i pràctica.
va demostrar que el 73,7% dels enquestats "prestériona" l'escurçament del període de validesa dels certificats.
Pel que fa a amagar la icona EV dels certificats SSL a la barra d'adreces, el consorci no va votar sobre aquest tema, perquè el tema de la interfície d'usuari del navegador és totalment competència dels desenvolupadors. De setembre a octubre, es llançaran noves versions de Chrome 77 i Firefox 70, que privaran els certificats EV d'un lloc especial a la barra d'adreces del navegador. A continuació es mostra com es veu el canvi utilitzant la versió d'escriptori de Firefox 70 com a exemple:
Era:
Voluntat:
Segons l'expert en seguretat Troy Hunt, eliminant la informació d'EV de la barra d'adreces dels navegadors .
Font: www.habr.com