26. Juli 2019 Google Reduzieren Sie die maximale Gültigkeitsdauer von SSL/TLS-Serverzertifikaten von derzeit 825 Tagen auf 397 Tage (ca. 13 Monate), also um etwa die Hälfte. Google glaubt, dass nur eine vollständige Automatisierung von Aktionen mit Zertifikaten die aktuellen Sicherheitsprobleme beseitigen kann, die oft auf menschliche Faktoren zurückgeführt werden. Daher sollte man idealerweise eine automatisierte Ausstellung kurzlebiger Zertifikate anstreben.
Das Thema wurde im CA/Browser Forum (CABF) zur Abstimmung gestellt, das Anforderungen an SSL/TLS-Zertifikate festlegt, einschließlich der maximalen Gültigkeitsdauer.
Und dann der 10. September : Mitglieder des Konsortiums haben abgestimmt против Vorschläge.
Ergebnisse
Abstimmung des Zertifikatsausstellers
Dafür (11 Stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ehemals Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Gegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ehemals Trustwave)
Enthalten (2): HARICA, TurkTrust
Zertifikatsverbraucher stimmen ab
Für (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Gegen: 0
Enthaltung: 0
Gemäß den Regeln des CA/Browser-Forums muss ein Zertifikat von zwei Dritteln der Zertifikatsaussteller und 50 % plus einer Stimme der Verbraucher genehmigt werden.
Vertreter von Digicert dafür, dass sie die Abstimmung übersprungen haben, wo sie für eine Verkürzung der Gültigkeitsdauer der Zertifikate gestimmt hätten. Sie stellen fest, dass für einige Kunden die kürzere Laufzeit möglicherweise ein Problem darstellt, es jedoch langfristige Sicherheitsvorteile gibt.
So oder so ist die Branche noch nicht bereit, die Gültigkeitsdauer von Zertifikaten zu verkürzen und vollständig auf automatisierte Lösungen umzusteigen. Zertifizierungsstellen selbst können solche Dienste anbieten, viele Kunden haben jedoch noch keine Automatisierung implementiert. Daher wird die Verkürzung der Frist auf 397 Tage vorerst verschoben. Aber die Frage bleibt offen.
Nun könnte Google versuchen, den Standard „zwangsweise“ umzusetzen, wie es beim Protokoll der Fall war . Darüber hinaus wird es auch von anderen Entwicklern unterstützt: Apple, Microsoft, Mozilla und Opera.
Erinnern wir uns daran, dass die vollständige Automatisierung eines der Prinzipien ist, auf denen die Arbeit des gemeinnützigen Zertifizierungszentrums Let's Encrypt basiert. Es stellt kostenlose Zertifikate für alle aus, die maximale Lebensdauer eines Zertifikats ist jedoch auf 90 Tage begrenzt. Zertifikate haben eine kurze Lebensdauer :
- Begrenzung des Schadens durch kompromittierte Schlüssel und falsch ausgestellte Zertifikate, da diese über einen kürzeren Zeitraum verwendet werden;
- Kurzlebige Zertifikate unterstützen und fördern die Automatisierung, die für die Benutzerfreundlichkeit von HTTPS unbedingt erforderlich ist. Wenn wir das gesamte World Wide Web auf HTTPS migrieren, können wir nicht erwarten, dass der Administrator jeder vorhandenen Site die Zertifikate manuell aktualisiert. Sobald die Ausstellung und Erneuerung von Zertifikaten vollständig automatisiert ist, werden kürzere Zertifikatslaufzeiten bequemer und praktischer.
ergab, dass 73,7 % der Befragten eine Verkürzung der Gültigkeitsdauer von Zertifikaten „eher befürworten“.
Was das Ausblenden des EV-Symbols für SSL-Zertifikate in der Adressleiste betrifft, stimmte das Konsortium zu diesem Thema nicht ab, da das Problem der Browser-Benutzeroberfläche vollständig in der Zuständigkeit der Entwickler liegt. Im September und Oktober werden neue Versionen von Chrome 77 und Firefox 70 veröffentlicht, wodurch EV-Zertifikaten ein besonderer Platz in der Adressleiste des Browsers entzogen wird. So sieht die Änderung am Beispiel der Desktop-Version von Firefox 70 aus:
Es war:
Es wird sein:
Laut Sicherheitsexperte Troy Hunt werden EV-Informationen aus der Adressleiste von Browsern entfernt .
Source: habr.com