26. juli 2019 Google
Spørgsmålet blev sat til afstemning i CA/Browser Forum (CABF), som stiller krav til SSL/TLS-certifikater, herunder den maksimale gyldighedsperiode.
Og så 10. september
Fund
Certifikatudsteder-afstemning
For (11 stemmer): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidligere Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mod (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidligere Trustwave)
Undlod at stemme (2): HARICA, TurkTrust
Bevis forbrugernes stemmeafgivelse
For (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Imod: 0
Undlod at stemme: 0
Ifølge CA/Browser Forums regler skal et certifikat godkendes af to tredjedele af certifikatudstederne og 50 % plus én stemme blandt forbrugerne.
Repræsentanter for Digicert
På den ene eller anden måde er branchen endnu ikke klar til at forkorte certifikaternes gyldighedsperiode og gå helt over til automatiserede løsninger. Certifikatmyndigheder kan selv tilbyde sådanne tjenester, men mange kunder har endnu ikke implementeret automatisering. Derfor er nedsættelsen af fristen til 397 dage udskudt indtil videre. Men spørgsmålet forbliver åbent.
Nu kan Google forsøge at implementere standarden "med magt", som det gjorde med protokollen
Lad os huske på, at fuld automatisering er et af de principper, som arbejdet i det non-profit certificeringscenter Let's Encrypt bygger på. Det udsteder gratis certifikater til alle, men den maksimale levetid for et certifikat er begrænset til 90 dage. Certifikater har kort levetid
- begrænse skaden fra kompromitterede nøgler og forkert udstedte certifikater, da de bruges over en kortere periode;
- kortlivede certifikater understøtter og tilskynder til automatisering, hvilket er absolut nødvendigt for brugervenligheden af HTTPS. Hvis vi skal migrere hele World Wide Web til HTTPS, kan vi ikke forvente, at administratoren af hvert eksisterende websted manuelt opdaterer certifikater. Når først udstedelse og fornyelse af certifikater bliver fuldt automatiseret, bliver kortere certifikatlevetider mere praktiske og praktiske.
Hvad angår at skjule EV-ikonet for SSL-certifikater i adresselinjen, stemte konsortiet ikke om dette spørgsmål, fordi spørgsmålet om browser-UI er helt inden for udviklernes kompetence. I september-oktober frigives nye versioner af Chrome 77 og Firefox 70, som vil fratage EV-certifikater en særlig plads i browserens adresselinje. Sådan ser ændringen ud ved at bruge desktopversionen af Firefox 70 som eksempel:
Var:
Vilje:
Ifølge sikkerhedsekspert Troy Hunt, fjernelse af EV-oplysninger fra adresselinjen i browsere
Kilde: www.habr.com