26. července 2019 Google
O problému se hlasovalo na fóru CA/Browser Forum (CABF), které stanovuje požadavky na certifikáty SSL/TLS včetně maximální doby platnosti.
A pak 10. září
výsledky
Hlasování vydavatele certifikátu
Pro (11 hlasů): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dříve Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dříve Trustwave)
Zdržel se hlasování (2): HARICA, TurkTrust
Hlasování spotřebitelů certifikátů
Pro (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Proti: 0
Zdržel se hlasování: 0
Podle pravidel CA/Browser Forum musí certifikát schválit dvě třetiny vydavatelů certifikátů a 50 % plus jeden hlas mezi spotřebiteli.
Zástupci společnosti Digicert
Tak či onak, průmysl zatím není připraven zkrátit dobu platnosti certifikátů a zcela přejít na automatizovaná řešení. Samotné certifikační autority mohou takové služby nabízet, ale řada klientů dosud automatizaci nezavedla. Zkrácení lhůty na 397 dní se proto zatím odkládá. Ale otázka zůstává otevřená.
Nyní se Google může pokusit implementovat standard „násilně“, jak to udělal s protokolem
Připomeňme, že plná automatizace je jedním z principů, na kterých je založena práce neziskového certifikačního centra Let’s Encrypt. Vydává zdarma certifikáty všem, ale maximální životnost certifikátu je omezena na 90 dní. Certifikáty mají krátkou životnost
- omezení škod způsobených kompromitovanými klíči a nesprávně vydanými certifikáty, protože jsou používány kratší dobu;
- krátkodobé certifikáty podporují a podporují automatizaci, která je naprosto nezbytná pro snadné použití HTTPS. Pokud budeme migrovat celý World Wide Web na HTTPS, pak nemůžeme očekávat, že správce každého existujícího webu bude certifikáty aktualizovat ručně. Jakmile bude vydávání a obnovování certifikátů plně automatizováno, kratší životnost certifikátů bude pohodlnější a praktičtější.
Pokud jde o skrytí ikony EV pro SSL certifikáty do adresního řádku, konsorcium o této otázce nehlasovalo, protože otázka uživatelského rozhraní prohlížeče je zcela v kompetenci vývojářů. V září-říjnu vyjdou nové verze Chrome 77 a Firefox 70, které zbaví EV certifikáty speciálního místa v adresním řádku prohlížeče. Takto vypadá změna na příkladu desktopové verze Firefoxu 70:
Bylo to:
Bude:
Podle bezpečnostního experta Troye Hunta odstranění informací o EV z adresního řádku prohlížečů
Zdroj: www.habr.com