Das CA/B-Forum stimmte gegen die Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten auf 397 Tage.

Am 26. Juli 2019 hat Google einen Vorschlag unterbreitet die maximale Gültigkeitsdauer von SSL/TLS-Serverzertifikaten von derzeit 825 Tagen auf 397 Tage (ungefähr 13 Monate) zu reduzieren, also etwa um die Hälfte. Google ist der Überzeugung, dass nur die vollständige Automatisierung der Zertifikatverwaltung die gegenwärtigen Sicherheitsprobleme lösen kann, die häufig durch menschliches Versagen verursacht werden. Aus diesem Grund sollte im Idealfall ein automatisierter Prozess für die Ausstellung von kurzlebigen Zertifikaten angestrebt werden.

Die Frage wurde zur Abstimmung im CA/Browser Forum (CABF) gestellt, das die Anforderungen an SSL/TLS-Zertifikate festlegt, einschließlich der maximalen Gültigkeitsdauer.

Und am 10. September wurden die Ergebnisse bekannt gegeben: Die Mitglieder des Konsortiums stimmten gegen den Vorschlag.

Ergebnisse

Abstimmung der Zertifikatsaussteller

Dafür (11 Stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ehemals Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Gegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ehemals Trustwave)

Enthaltungen (2): HARICA, TurkTrust

Abstimmung der Konsumenten über Zertifikate

Für (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Gegen: 0

Enthalten: 0

Laut den Regeln des CA/Browser Forum müssen für eine positive Entscheidung zwei Drittel der Zertifikatsherausgeber und 50 % plus eine Stimme der Verbraucher dafür stimmen.

Vertreter von Digicert entschuldigten sich Für die Stimmabgabe, bei der sie für eine Verkürzung der Gültigkeitsdauer von Zertifikaten votieren würden. Sie weisen darauf hin, dass eine Verkürzung der Gültigkeitsdauer für einige Kunden ein Problem darstellen könnte, aber langfristig bietet dies Sicherheitsvorteile.

So oder so ist die Branche noch nicht bereit, die Gültigkeitsdauer von Zertifikaten zu verkürzen und vollständig auf automatisierte Lösungen umzusteigen. Zertifizierungsstellen können solche Dienstleistungen anbieten, aber viele Kunden haben die Automatisierung noch nicht implementiert. Daher wird die Verkürzung der Frist auf 397 Tage vorerst aufgeschoben. Die Frage bleibt jedoch offen.

Jetzt kann Google den Standard versuchen, "zwangsvollständig" einzuführen, wie es beim Protokoll der Fall war. Certificate TransparencyZumal auch andere Entwickler ihn unterstützen: Apple, Microsoft, Mozilla und Opera.

Wir erinnern daran, dass vollständige Automatisierung eines der Prinzipien ist, auf denen das non-profit Zertifizierungszentrum Let's Encrypt basiert. Es stellt allen Interessierten kostenlose Zertifikate aus, aber die maximale Lebensdauer eines Zertifikats ist auf 90 Tage begrenzt. Kurze Lebensdauern von Zertifikaten haben zwei Hauptvorteile.:

  1. Einschränkung der Schäden durch kompromittierte Schlüssel und fehlerhaft ausgestellte Zertifikate, da sie über einen kürzeren Zeitraum verwendet werden;
  2. Kurzlebige Zertifikate unterstützen und fördern die Automatisierung, die für die Nutzung von HTTPS unerlässlich ist. Wenn wir das gesamte World Wide Web auf HTTPS umstellen wollen, kann keinesfalls erwartet werden, dass die Zertifikate manuell von den Administratoren jeder bestehenden Website aktualisiert werden. Sobald die Ausstellung und Aktualisierung von Zertifikaten vollständig automatisiert ist, werden kürzere Lebensdauern von Zertifikaten im Gegenteil bequemer und praktischer.

Umfrage von GlobalSign auf Habré zeigte, dass 73,7 % der Befragten "eher einer Verkürzung der Gültigkeitsdauer von Zertifikaten zustimmen."

Was die Ausblendung des EV-Symbols für SSL-Zertifikate in der Adressleiste angeht, hat der Konsortium nicht abgestimmt, da die UI-Fragen der Browser vollständig in der Verantwortung der Entwickler liegen. Im September-Oktober werden neue Versionen von Chrome 77 und Firefox 70 veröffentlicht, die den EV-Zertifikaten ihren besonderen Platz in der Adressleiste entziehen werden. So sieht die Änderung am Beispiel der Desktop-Version von Firefox 70 aus:

War:

Das CA/B-Forum stimmte gegen die Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten auf 397 Tage.

So wird es sein:

Das CA/B-Forum stimmte gegen die Verkürzung der Gültigkeitsdauer von SSL-Zertifikaten auf 397 Tage.

Laut dem Sicherheitsexperten Troy Hunt wird die Entfernung der EV-Informationen aus der Adressleiste der Browser tatsächlich diese Art von Zertifikaten beerdigen..

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster