26 Ιουλίου 2019 Google
Το θέμα τέθηκε σε ψηφοφορία στο Φόρουμ CA/Browser (CABF), το οποίο ορίζει απαιτήσεις για πιστοποιητικά SSL/TLS, συμπεριλαμβανομένης της μέγιστης περιόδου ισχύος.
Και μετά 10 Σεπτεμβρίου
Ευρήματα
Ψηφοφορία εκδότη πιστοποιητικού
Υπέρ (11 ψήφοι): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (πρώην Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Κατά (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCATrust, Secure Trustwave)
Αποχή (2): HARICA, TurkTrust
Ψηφοφορία καταναλωτών πιστοποιητικών
Για (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Κατά: 0
Απείχε: 0
Σύμφωνα με τους κανόνες του Φόρουμ CA/Browser, ένα πιστοποιητικό πρέπει να εγκρίνεται από τα δύο τρίτα των εκδοτών πιστοποιητικών και το 50% συν μία ψήφο μεταξύ των καταναλωτών.
Εκπρόσωποι της Digicert
Με τον ένα ή τον άλλο τρόπο, ο κλάδος δεν είναι ακόμη έτοιμος να συντομεύσει την περίοδο ισχύος των πιστοποιητικών και να στραφεί πλήρως σε αυτοματοποιημένες λύσεις. Οι ίδιες οι αρχές έκδοσης πιστοποιητικών μπορούν να προσφέρουν τέτοιες υπηρεσίες, αλλά πολλοί πελάτες δεν έχουν ακόμη εφαρμόσει την αυτοματοποίηση. Ως εκ τούτου, η μείωση της προθεσμίας στις 397 ημέρες αναβάλλεται προς το παρόν. Όμως το ερώτημα παραμένει ανοιχτό.
Τώρα η Google μπορεί να προσπαθήσει να εφαρμόσει το πρότυπο «αναγκαστικά», όπως έκανε με το πρωτόκολλο
Ας θυμίσουμε ότι η πλήρης αυτοματοποίηση είναι μια από τις αρχές στις οποίες βασίζεται το έργο του μη κερδοσκοπικού κέντρου πιστοποίησης Let's Encrypt. Εκδίδει δωρεάν πιστοποιητικά σε όλους, αλλά η μέγιστη διάρκεια ζωής ενός πιστοποιητικού περιορίζεται στις 90 ημέρες. Τα πιστοποιητικά έχουν μικρή διάρκεια ζωής
- περιορισμός της ζημιάς από παραβιασμένα κλειδιά και λανθασμένα εκδοθέντα πιστοποιητικά, καθώς χρησιμοποιούνται σε μικρότερο χρονικό διάστημα·
- Τα βραχύβια πιστοποιητικά υποστηρίζουν και ενθαρρύνουν την αυτοματοποίηση, η οποία είναι απολύτως απαραίτητη για την ευκολία χρήσης του HTTPS. Εάν πρόκειται να μετεγκαταστήσουμε ολόκληρο τον Παγκόσμιο Ιστό σε HTTPS, τότε δεν μπορούμε να περιμένουμε από τον διαχειριστή κάθε υπάρχοντος ιστότοπου να ενημερώσει μη αυτόματα τα πιστοποιητικά. Μόλις η έκδοση και οι ανανεώσεις πιστοποιητικών γίνουν πλήρως αυτοματοποιημένες, η μικρότερη διάρκεια ζωής πιστοποιητικού θα γίνει πιο βολική και πρακτική.
Όσον αφορά την απόκρυψη του εικονιδίου EV για πιστοποιητικά SSL στη γραμμή διευθύνσεων, η κοινοπραξία δεν ψήφισε για αυτό το ζήτημα, επειδή το ζήτημα της διεπαφής χρήστη του προγράμματος περιήγησης είναι εξ ολοκλήρου στην αρμοδιότητα των προγραμματιστών. Τον Σεπτέμβριο-Οκτώβριο, θα κυκλοφορήσουν νέες εκδόσεις του Chrome 77 και του Firefox 70, οι οποίες θα στερήσουν τα πιστοποιητικά EV από μια ειδική θέση στη γραμμή διευθύνσεων του προγράμματος περιήγησης. Δείτε πώς φαίνεται η αλλαγή χρησιμοποιώντας την έκδοση desktop του Firefox 70 ως παράδειγμα:
Ήταν:
Θα είναι:
Σύμφωνα με τον ειδικό σε θέματα ασφάλειας, Troy Hunt, η αφαίρεση πληροφοριών EV από τη γραμμή διευθύνσεων των προγραμμάτων περιήγησης
Πηγή: www.habr.com