26. juli 2019 Google reducere den maksimale gyldighedsperiode for SSL/TLS-servercertifikater fra de nuværende 825 dage til 397 dage (ca. 13 måneder), det vil sige med cirka halvdelen. Google mener, at kun fuldstændig automatisering af handlinger med certifikater vil slippe af med de nuværende sikkerhedsproblemer, som ofte tilskrives menneskelige faktorer. Derfor bør man ideelt set tilstræbe automatiseret udstedelse af kortlivede certifikater.
Spørgsmålet blev sat til afstemning i CA/Browser Forum (CABF), som stiller krav til SSL/TLS-certifikater, herunder den maksimale gyldighedsperiode.
Og så 10. september : konsortiets medlemmer stemte против forslag.
Fund
Certifikatudsteder-afstemning
For (11 stemmer): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidligere Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mod (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidligere Trustwave)
Undlod at stemme (2): HARICA, TurkTrust
Bevis forbrugernes stemmeafgivelse
For (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Imod: 0
Undlod at stemme: 0
Ifølge CA/Browser Forums regler skal et certifikat godkendes af to tredjedele af certifikatudstederne og 50 % plus én stemme blandt forbrugerne.
Repræsentanter for Digicert for at springe afstemningen over, hvor de ville have stemt for at nedsætte certifikaternes gyldighedsperiode. De bemærker, at for nogle kunder kan den kortere varighed være et problem, men der er langsigtede sikkerhedsfordele.
På den ene eller anden måde er branchen endnu ikke klar til at forkorte certifikaternes gyldighedsperiode og gå helt over til automatiserede løsninger. Certifikatmyndigheder kan selv tilbyde sådanne tjenester, men mange kunder har endnu ikke implementeret automatisering. Derfor er nedsættelsen af fristen til 397 dage udskudt indtil videre. Men spørgsmålet forbliver åbent.
Nu kan Google forsøge at implementere standarden "med magt", som det gjorde med protokollen . Desuden understøttes det også af andre udviklere: Apple, Microsoft, Mozilla og Opera.
Lad os huske på, at fuld automatisering er et af de principper, som arbejdet i det non-profit certificeringscenter Let's Encrypt bygger på. Det udsteder gratis certifikater til alle, men den maksimale levetid for et certifikat er begrænset til 90 dage. Certifikater har kort levetid :
- begrænse skaden fra kompromitterede nøgler og forkert udstedte certifikater, da de bruges over en kortere periode;
- kortlivede certifikater understøtter og tilskynder til automatisering, hvilket er absolut nødvendigt for brugervenligheden af HTTPS. Hvis vi skal migrere hele World Wide Web til HTTPS, kan vi ikke forvente, at administratoren af hvert eksisterende websted manuelt opdaterer certifikater. Når først udstedelse og fornyelse af certifikater bliver fuldt automatiseret, bliver kortere certifikatlevetider mere praktiske og praktiske.
viste, at 73,7 % af de adspurgte "heller støtter" at forkorte certifikaternes gyldighedsperiode.
Hvad angår at skjule EV-ikonet for SSL-certifikater i adresselinjen, stemte konsortiet ikke om dette spørgsmål, fordi spørgsmålet om browser-UI er helt inden for udviklernes kompetence. I september-oktober frigives nye versioner af Chrome 77 og Firefox 70, som vil fratage EV-certifikater en særlig plads i browserens adresselinje. Sådan ser ændringen ud ved at bruge desktopversionen af Firefox 70 som eksempel:
Var:
Vilje:
Ifølge sikkerhedsekspert Troy Hunt, fjernelse af EV-oplysninger fra adresselinjen i browsere .
Kilde: www.habr.com