26. července 2019 Google snížit maximální dobu platnosti certifikátů serveru SSL/TLS ze současných 825 dnů na 397 dnů (cca 13 měsíců), tedy přibližně na polovinu. Google věří, že pouze úplná automatizace akcí s certifikáty se zbaví současných bezpečnostních problémů, které jsou často připisovány lidskému faktoru. V ideálním případě by se proto mělo usilovat o automatizované vydávání krátkodobých certifikátů.
O problému se hlasovalo na fóru CA/Browser Forum (CABF), které stanovuje požadavky na certifikáty SSL/TLS včetně maximální doby platnosti.
A pak 10. září : členové konsorcia hlasovali против návrhy.
výsledky
Hlasování vydavatele certifikátu
Pro (11 hlasů): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dříve Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dříve Trustwave)
Zdržel se hlasování (2): HARICA, TurkTrust
Hlasování spotřebitelů certifikátů
Pro (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Proti: 0
Zdržel se hlasování: 0
Podle pravidel CA/Browser Forum musí certifikát schválit dvě třetiny vydavatelů certifikátů a 50 % plus jeden hlas mezi spotřebiteli.
Zástupci společnosti Digicert za vynechání hlasování, kde by hlasovali pro zkrácení doby platnosti certifikátů. Poznamenávají, že pro některé zákazníky může být kratší doba trvání problémem, ale existují dlouhodobé výhody zabezpečení.
Tak či onak, průmysl zatím není připraven zkrátit dobu platnosti certifikátů a zcela přejít na automatizovaná řešení. Samotné certifikační autority mohou takové služby nabízet, ale řada klientů dosud automatizaci nezavedla. Zkrácení lhůty na 397 dní se proto zatím odkládá. Ale otázka zůstává otevřená.
Nyní se Google může pokusit implementovat standard „násilně“, jak to udělal s protokolem . Navíc jej podporují i další vývojáři: Apple, Microsoft, Mozilla a Opera.
Připomeňme, že plná automatizace je jedním z principů, na kterých je založena práce neziskového certifikačního centra Let’s Encrypt. Vydává zdarma certifikáty všem, ale maximální životnost certifikátu je omezena na 90 dní. Certifikáty mají krátkou životnost :
- omezení škod způsobených kompromitovanými klíči a nesprávně vydanými certifikáty, protože jsou používány kratší dobu;
- krátkodobé certifikáty podporují a podporují automatizaci, která je naprosto nezbytná pro snadné použití HTTPS. Pokud budeme migrovat celý World Wide Web na HTTPS, pak nemůžeme očekávat, že správce každého existujícího webu bude certifikáty aktualizovat ručně. Jakmile bude vydávání a obnovování certifikátů plně automatizováno, kratší životnost certifikátů bude pohodlnější a praktičtější.
ukázal, že 73,7 % respondentů „spíše podporuje“ zkrácení doby platnosti certifikátů.
Pokud jde o skrytí ikony EV pro SSL certifikáty do adresního řádku, konsorcium o této otázce nehlasovalo, protože otázka uživatelského rozhraní prohlížeče je zcela v kompetenci vývojářů. V září-říjnu vyjdou nové verze Chrome 77 a Firefox 70, které zbaví EV certifikáty speciálního místa v adresním řádku prohlížeče. Takto vypadá změna na příkladu desktopové verze Firefoxu 70:
Bylo to:
Bude:
Podle bezpečnostního experta Troye Hunta odstranění informací o EV z adresního řádku prohlížečů .
Zdroj: www.habr.com