la 26-an de julio 2019 Guglo
La afero estis voĉdonita en la CA/Browser Forum (CABF), kiu fiksas postulojn por SSL/TLS-atestiloj, inkluzive de la maksimuma validecperiodo.
Kaj poste la 10-an de septembro
Результаты
Voĉdonado de Atestilo
Por (11 voĉoj): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (antaŭe Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Kontraŭ (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (iama) Trustwave)
Sindetenis (2): HARICA, TurkTrust
Atestilo konsumantoj voĉdonante
Por (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Kontraŭ: 0
Sindetenis: 0
Laŭ reguloj de CA/Browser Forum, atestilo devas esti aprobita de du trionoj de atestiloj kaj 50% plus unu voĉdono inter konsumantoj.
Reprezentantoj de Digicert
Unu maniero aŭ alia, la industrio ankoraŭ ne pretas mallongigi la validecperiodon de atestiloj kaj tute ŝanĝi al aŭtomataj solvoj. Atestiladminstracioj mem povas oferti tiajn servojn, sed multaj klientoj ankoraŭ ne efektivigis aŭtomatigon. Tial, la redukto de la limdato al 397 tagoj estas prokrastita nuntempe. Sed la demando restas malfermita.
Nun Guglo povas provi efektivigi la normon "perforte", kiel ĝi faris kun la protokolo
Ni rememoru, ke plena aŭtomatigo estas unu el la principoj, sur kiuj baziĝas la laboro de la senprofita atesta centro Let's Encrypt. Ĝi eldonas senpagajn atestilojn al ĉiuj, sed la maksimuma vivdaŭro de atestilo estas limigita al 90 tagoj. Atestiloj havas mallongajn vivdaŭrojn
- limigante la damaĝon de kompromititaj ŝlosiloj kaj malĝuste eldonitaj atestiloj, ĉar ili estas uzataj dum pli mallonga tempodaŭro;
- mallongdaŭraj atestiloj subtenas kaj instigas aŭtomatigon, kiu estas nepre necesa por la facileco de uzo de HTTPS. Se ni migros la tutan Tutmondan Reton al HTTPS, tiam ni ne povas atendi, ke la administranto de ĉiu ekzistanta retejo permane ĝisdatigas atestojn. Post kiam eldonado kaj renovigoj de atestiloj fariĝos plene aŭtomatigitaj, pli mallongaj atestildaŭroj fariĝos pli oportunaj kaj praktikaj.
Koncerne kaŝi la EV-ikonon por SSL-atestiloj en la adresbreto, la konsorcio ne voĉdonis pri ĉi tiu afero, ĉar la afero de retumila UI estas tute ene de la kompetenteco de la programistoj. En septembro-oktobro, novaj versioj de Chrome 77 kaj Firefox 70 estos publikigitaj, kiuj senigos EV-atestiloj je speciala loko en la retumila adresbreto. Jen kiel aspektas la ŝanĝo uzante la labortablan version de Firefox 70 kiel ekzemplo:
Estis:
Volo:
Laŭ sekureceksperto Troy Hunt, forigante EV-informojn de la adresbreto de retumiloj
fonto: www.habr.com