Gorffennaf 26, 2019 Google lleihau uchafswm cyfnod dilysrwydd tystysgrifau gweinydd SSL/TLS o'r 825 diwrnod presennol i 397 diwrnod (tua 13 mis), hynny yw, tua hanner. Mae Google yn credu mai dim ond awtomeiddio cyflawn o gamau gweithredu gyda thystysgrifau fydd yn cael gwared ar y problemau diogelwch presennol, sy'n aml yn cael eu priodoli i ffactorau dynol. Felly, yn ddelfrydol, dylai un ymdrechu i gyhoeddi tystysgrifau byrhoedlog yn awtomataidd.
Rhoddwyd y mater i bleidlais yn y Fforwm CA/Porwr (CABF), sy'n gosod gofynion ar gyfer tystysgrifau SSL/TLS, gan gynnwys y cyfnod dilysrwydd hwyaf.
Ac yna Medi 10fed : pleidleisiodd aelodau'r consortiwm ΠΏΡΠΎΡΠΈΠ² awgrymiadau.
Canfyddiadau
Pleidleisio gan Gyhoeddwr Tystysgrif
O blaid (11 pleidlais): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (Comodo CA gynt), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Yn erbyn (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (form Ton ymddiried)
Ymatal (2): HARICA, TurkTrust
Defnyddwyr tystysgrif yn pleidleisio
Ar gyfer (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Yn erbyn: 0
Ymatal: 0
Yn Γ΄l rheolau Fforwm Porwr / CA, rhaid i dystysgrif gael ei chymeradwyo gan ddwy ran o dair o'r cyhoeddwyr tystysgrif a 50% ynghyd ag un bleidlais ymhlith defnyddwyr.
Cynrychiolwyr Digicert dros hepgor y bleidlais, lle byddent wedi pleidleisio o blaid lleihau cyfnod dilysrwydd y tystysgrifau. Maent yn nodi y gallai'r cyfnod byrrach fod yn broblem i rai cwsmeriaid, ond bod buddion diogelwch hirdymor.
Un ffordd neu'r llall, nid yw'r diwydiant eto'n barod i fyrhau cyfnod dilysrwydd tystysgrifau a newid yn llwyr i atebion awtomataidd. Gall awdurdodau tystysgrif eu hunain gynnig gwasanaethau o'r fath, ond nid yw llawer o gleientiaid wedi gweithredu awtomeiddio eto. Felly, mae gostyngiad y dyddiad cau i 397 diwrnod yn cael ei ohirio am y tro. Ond erys y cwestiwn yn agored.
Nawr efallai y bydd Google yn ceisio gweithredu'r safon βyn rymusβ, fel y gwnaeth gyda'r protocol . Ar ben hynny, mae hefyd yn cael ei gefnogi gan ddatblygwyr eraill: Apple, Microsoft, Mozilla ac Opera.
Gadewch inni gofio bod awtomeiddio llawn yn un o'r egwyddorion y mae gwaith y ganolfan ardystio di-elw Let's Encrypt yn seiliedig arnynt. Mae'n rhoi tystysgrifau am ddim i bawb, ond mae hyd oes uchaf tystysgrif wedi'i gyfyngu i 90 diwrnod. Mae gan dystysgrifau oes fer :
- cyfyngu ar y difrod o allweddi dan fygythiad a thystysgrifau a gyhoeddwyd yn anghywir, gan eu bod yn cael eu defnyddio dros gyfnod byrrach o amser;
- mae tystysgrifau byrhoedlog yn cefnogi ac yn annog awtomeiddio, sy'n gwbl angenrheidiol ar gyfer rhwyddineb defnydd HTTPS. Os ydym am symud y We Fyd Eang gyfan i HTTPS, yna ni allwn ddisgwyl i weinyddwr pob gwefan bresennol ddiweddaru tystysgrifau Γ’ llaw. Unwaith y bydd y broses o gyhoeddi ac adnewyddu tystysgrifau yn gwbl awtomataidd, bydd oes tystysgrifau byrrach yn dod yn fwy cyfleus ac ymarferol.
yn dangos bod 73,7% o ymatebwyr βyn hytrach yn cefnogiβ byrhau cyfnod dilysrwydd tystysgrifau.
O ran cuddio'r eicon EV ar gyfer tystysgrifau SSL yn y bar cyfeiriad, ni phleidleisiodd y consortiwm ar y mater hwn, oherwydd mae mater UI porwr yn gyfan gwbl o fewn cymhwysedd y datblygwyr. Ym mis Medi-Hydref, bydd fersiynau newydd o Chrome 77 a Firefox 70 yn cael eu rhyddhau, a fydd yn amddifadu tystysgrifau EV o le arbennig ym mar cyfeiriad y porwr. Dyma sut olwg sydd ar y newid gan ddefnyddio'r fersiwn bwrdd gwaith o Firefox 70 fel enghraifft:
Oedd:
Bydd:
Yn Γ΄l arbenigwr diogelwch Troy Hunt, tynnu gwybodaeth EV o'r bar cyfeiriad o borwyr .
Ffynhonnell: hab.com