26 Ιουλίου 2019 Google μειώστε τη μέγιστη περίοδο ισχύος των πιστοποιητικών διακομιστή SSL/TLS από τις τρέχουσες 825 ημέρες σε 397 ημέρες (περίπου 13 μήνες), δηλαδή κατά το ήμισυ περίπου. Η Google πιστεύει ότι μόνο η πλήρης αυτοματοποίηση των ενεργειών με πιστοποιητικά θα απαλλαγεί από τα τρέχοντα προβλήματα ασφάλειας, τα οποία συχνά αποδίδονται σε ανθρώπινους παράγοντες. Επομένως, ιδανικά, θα πρέπει να επιδιώκεται η αυτοματοποιημένη έκδοση πιστοποιητικών βραχύβιας διάρκειας.
Το θέμα τέθηκε σε ψηφοφορία στο Φόρουμ CA/Browser (CABF), το οποίο ορίζει απαιτήσεις για πιστοποιητικά SSL/TLS, συμπεριλαμβανομένης της μέγιστης περιόδου ισχύος.
Και μετά 10 Σεπτεμβρίου : ψήφισαν μέλη της κοινοπραξίας против προτάσεις.
Ευρήματα
Ψηφοφορία εκδότη πιστοποιητικού
Υπέρ (11 ψήφοι): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (πρώην Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Κατά (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCATrust, Secure Trustwave)
Αποχή (2): HARICA, TurkTrust
Ψηφοφορία καταναλωτών πιστοποιητικών
Για (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Κατά: 0
Απείχε: 0
Σύμφωνα με τους κανόνες του Φόρουμ CA/Browser, ένα πιστοποιητικό πρέπει να εγκρίνεται από τα δύο τρίτα των εκδοτών πιστοποιητικών και το 50% συν μία ψήφο μεταξύ των καταναλωτών.
Εκπρόσωποι της Digicert για παράκαμψη της ψηφοφορίας, όπου θα ψήφιζαν υπέρ της μείωσης του χρόνου ισχύος των πιστοποιητικών. Σημειώνουν ότι για ορισμένους πελάτες, η μικρότερη διάρκεια μπορεί να είναι πρόβλημα, αλλά υπάρχουν μακροπρόθεσμα οφέλη ασφάλειας.
Με τον ένα ή τον άλλο τρόπο, ο κλάδος δεν είναι ακόμη έτοιμος να συντομεύσει την περίοδο ισχύος των πιστοποιητικών και να στραφεί πλήρως σε αυτοματοποιημένες λύσεις. Οι ίδιες οι αρχές έκδοσης πιστοποιητικών μπορούν να προσφέρουν τέτοιες υπηρεσίες, αλλά πολλοί πελάτες δεν έχουν ακόμη εφαρμόσει την αυτοματοποίηση. Ως εκ τούτου, η μείωση της προθεσμίας στις 397 ημέρες αναβάλλεται προς το παρόν. Όμως το ερώτημα παραμένει ανοιχτό.
Τώρα η Google μπορεί να προσπαθήσει να εφαρμόσει το πρότυπο «αναγκαστικά», όπως έκανε με το πρωτόκολλο . Επιπλέον, υποστηρίζεται και από άλλους προγραμματιστές: Apple, Microsoft, Mozilla και Opera.
Ας θυμίσουμε ότι η πλήρης αυτοματοποίηση είναι μια από τις αρχές στις οποίες βασίζεται το έργο του μη κερδοσκοπικού κέντρου πιστοποίησης Let's Encrypt. Εκδίδει δωρεάν πιστοποιητικά σε όλους, αλλά η μέγιστη διάρκεια ζωής ενός πιστοποιητικού περιορίζεται στις 90 ημέρες. Τα πιστοποιητικά έχουν μικρή διάρκεια ζωής :
- περιορισμός της ζημιάς από παραβιασμένα κλειδιά και λανθασμένα εκδοθέντα πιστοποιητικά, καθώς χρησιμοποιούνται σε μικρότερο χρονικό διάστημα·
- Τα βραχύβια πιστοποιητικά υποστηρίζουν και ενθαρρύνουν την αυτοματοποίηση, η οποία είναι απολύτως απαραίτητη για την ευκολία χρήσης του HTTPS. Εάν πρόκειται να μετεγκαταστήσουμε ολόκληρο τον Παγκόσμιο Ιστό σε HTTPS, τότε δεν μπορούμε να περιμένουμε από τον διαχειριστή κάθε υπάρχοντος ιστότοπου να ενημερώσει μη αυτόματα τα πιστοποιητικά. Μόλις η έκδοση και οι ανανεώσεις πιστοποιητικών γίνουν πλήρως αυτοματοποιημένες, η μικρότερη διάρκεια ζωής πιστοποιητικού θα γίνει πιο βολική και πρακτική.
έδειξε ότι το 73,7% των ερωτηθέντων «υποστηρίζει μάλλον» τη συντόμευση της περιόδου ισχύος των πιστοποιητικών.
Όσον αφορά την απόκρυψη του εικονιδίου EV για πιστοποιητικά SSL στη γραμμή διευθύνσεων, η κοινοπραξία δεν ψήφισε για αυτό το ζήτημα, επειδή το ζήτημα της διεπαφής χρήστη του προγράμματος περιήγησης είναι εξ ολοκλήρου στην αρμοδιότητα των προγραμματιστών. Τον Σεπτέμβριο-Οκτώβριο, θα κυκλοφορήσουν νέες εκδόσεις του Chrome 77 και του Firefox 70, οι οποίες θα στερήσουν τα πιστοποιητικά EV από μια ειδική θέση στη γραμμή διευθύνσεων του προγράμματος περιήγησης. Δείτε πώς φαίνεται η αλλαγή χρησιμοποιώντας την έκδοση desktop του Firefox 70 ως παράδειγμα:
Ήταν:
Θα είναι:
Σύμφωνα με τον ειδικό σε θέματα ασφάλειας, Troy Hunt, η αφαίρεση πληροφοριών EV από τη γραμμή διευθύνσεων των προγραμμάτων περιήγησης .
Πηγή: www.habr.com