Am 26. Juli 2019 hat Google die maximale Gültigkeitsdauer von SSL/TLS-Serverzertifikaten von derzeit 825 Tagen auf 397 Tage (ungefähr 13 Monate) zu reduzieren, also etwa um die Hälfte. Google ist der Überzeugung, dass nur die vollständige Automatisierung der Zertifikatverwaltung die gegenwärtigen Sicherheitsprobleme lösen kann, die häufig durch menschliches Versagen verursacht werden. Aus diesem Grund sollte im Idealfall ein automatisierter Prozess für die Ausstellung von kurzlebigen Zertifikaten angestrebt werden.
Die Frage wurde zur Abstimmung im CA/Browser Forum (CABF) gestellt, das die Anforderungen an SSL/TLS-Zertifikate festlegt, einschließlich der maximalen Gültigkeitsdauer.
Und am 10. September : Die Mitglieder des Konsortiums stimmten gegen den Vorschlag.
Ergebnisse
Abstimmung der Zertifikatsaussteller
Dafür (11 Stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ehemals Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Gegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ehemals Trustwave)
Enthaltungen (2): HARICA, TurkTrust
Abstimmung der Konsumenten über Zertifikate
Für (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Gegen: 0
Enthalten: 0
Laut den Regeln des CA/Browser Forum müssen für eine positive Entscheidung zwei Drittel der Zertifikatsherausgeber und 50 % plus eine Stimme der Verbraucher dafür stimmen.
Vertreter von Digicert Für die Stimmabgabe, bei der sie für eine Verkürzung der Gültigkeitsdauer von Zertifikaten votieren würden. Sie weisen darauf hin, dass eine Verkürzung der Gültigkeitsdauer für einige Kunden ein Problem darstellen könnte, aber langfristig bietet dies Sicherheitsvorteile.
So oder so ist die Branche noch nicht bereit, die Gültigkeitsdauer von Zertifikaten zu verkürzen und vollständig auf automatisierte Lösungen umzusteigen. Zertifizierungsstellen können solche Dienstleistungen anbieten, aber viele Kunden haben die Automatisierung noch nicht implementiert. Daher wird die Verkürzung der Frist auf 397 Tage vorerst aufgeschoben. Die Frage bleibt jedoch offen.
Jetzt kann Google den Standard versuchen, "zwangsvollständig" einzuführen, wie es beim Protokoll der Fall war. Zumal auch andere Entwickler ihn unterstützen: Apple, Microsoft, Mozilla und Opera.
Wir erinnern daran, dass vollständige Automatisierung eines der Prinzipien ist, auf denen das non-profit Zertifizierungszentrum Let's Encrypt basiert. Es stellt allen Interessierten kostenlose Zertifikate aus, aber die maximale Lebensdauer eines Zertifikats ist auf 90 Tage begrenzt. Kurze Lebensdauern von Zertifikaten haben :
- Einschränkung der Schäden durch kompromittierte Schlüssel und fehlerhaft ausgestellte Zertifikate, da sie über einen kürzeren Zeitraum verwendet werden;
- Kurzlebige Zertifikate unterstützen und fördern die Automatisierung, die für die Nutzung von HTTPS unerlässlich ist. Wenn wir das gesamte World Wide Web auf HTTPS umstellen wollen, kann keinesfalls erwartet werden, dass die Zertifikate manuell von den Administratoren jeder bestehenden Website aktualisiert werden. Sobald die Ausstellung und Aktualisierung von Zertifikaten vollständig automatisiert ist, werden kürzere Lebensdauern von Zertifikaten im Gegenteil bequemer und praktischer.
zeigte, dass 73,7 % der Befragten "eher einer Verkürzung der Gültigkeitsdauer von Zertifikaten zustimmen."
Was die Ausblendung des EV-Symbols für SSL-Zertifikate in der Adressleiste angeht, hat der Konsortium nicht abgestimmt, da die UI-Fragen der Browser vollständig in der Verantwortung der Entwickler liegen. Im September-Oktober werden neue Versionen von Chrome 77 und Firefox 70 veröffentlicht, die den EV-Zertifikaten ihren besonderen Platz in der Adressleiste entziehen werden. So sieht die Änderung am Beispiel der Desktop-Version von Firefox 70 aus:
War:
![]()
So wird es sein:

Laut dem Sicherheitsexperten Troy Hunt wird die Entfernung der EV-Informationen aus der Adressleiste der Browser .
Quelle: habr.com
