26. Juli 2019 Google
Das Thema wurde im CA/Browser Forum (CABF) zur Abstimmung gestellt, das Anforderungen an SSL/TLS-Zertifikate festlegt, einschließlich der maximalen Gültigkeitsdauer.
Und dann der 10. September
Ergebnisse
Abstimmung des Zertifikatsausstellers
Dafür (11 Stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ehemals Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Gegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ehemals Trustwave)
Enthalten (2): HARICA, TurkTrust
Zertifikatsverbraucher stimmen ab
Für (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Gegen: 0
Enthaltung: 0
Gemäß den Regeln des CA/Browser-Forums muss ein Zertifikat von zwei Dritteln der Zertifikatsaussteller und 50 % plus einer Stimme der Verbraucher genehmigt werden.
Vertreter von Digicert
So oder so ist die Branche noch nicht bereit, die Gültigkeitsdauer von Zertifikaten zu verkürzen und vollständig auf automatisierte Lösungen umzusteigen. Zertifizierungsstellen selbst können solche Dienste anbieten, viele Kunden haben jedoch noch keine Automatisierung implementiert. Daher wird die Verkürzung der Frist auf 397 Tage vorerst verschoben. Aber die Frage bleibt offen.
Nun könnte Google versuchen, den Standard „zwangsweise“ umzusetzen, wie es beim Protokoll der Fall war
Erinnern wir uns daran, dass die vollständige Automatisierung eines der Prinzipien ist, auf denen die Arbeit des gemeinnützigen Zertifizierungszentrums Let's Encrypt basiert. Es stellt kostenlose Zertifikate für alle aus, die maximale Lebensdauer eines Zertifikats ist jedoch auf 90 Tage begrenzt. Zertifikate haben eine kurze Lebensdauer
- Begrenzung des Schadens durch kompromittierte Schlüssel und falsch ausgestellte Zertifikate, da diese über einen kürzeren Zeitraum verwendet werden;
- Kurzlebige Zertifikate unterstützen und fördern die Automatisierung, die für die Benutzerfreundlichkeit von HTTPS unbedingt erforderlich ist. Wenn wir das gesamte World Wide Web auf HTTPS migrieren, können wir nicht erwarten, dass der Administrator jeder vorhandenen Site die Zertifikate manuell aktualisiert. Sobald die Ausstellung und Erneuerung von Zertifikaten vollständig automatisiert ist, werden kürzere Zertifikatslaufzeiten bequemer und praktischer.
Was das Ausblenden des EV-Symbols für SSL-Zertifikate in der Adressleiste betrifft, stimmte das Konsortium zu diesem Thema nicht ab, da das Problem der Browser-Benutzeroberfläche vollständig in der Zuständigkeit der Entwickler liegt. Im September und Oktober werden neue Versionen von Chrome 77 und Firefox 70 veröffentlicht, wodurch EV-Zertifikaten ein besonderer Platz in der Adressleiste des Browsers entzogen wird. So sieht die Änderung am Beispiel der Desktop-Version von Firefox 70 aus:
Es war:
Es wird sein:
Laut Sicherheitsexperte Troy Hunt werden EV-Informationen aus der Adressleiste von Browsern entfernt
Source: habr.com