la 26-an de julio 2019 Guglo reduktu la maksimuman validecperiodon de SSL/TLS-servilaj atestiloj de la nunaj 825 tagoj al 397 tagoj (ĉirkaŭ 13 monatoj), tio estas proksimume duono. Google kredas, ke nur kompleta aŭtomatigo de agoj kun atestiloj forigos la nunajn sekurecajn problemojn, kiuj ofte estas atribuitaj al homaj faktoroj. Tial, ideale, oni devus strebi por aŭtomatigita emisio de mallongdaŭraj atestiloj.
La afero estis voĉdonita en la CA/Browser Forum (CABF), kiu fiksas postulojn por SSL/TLS-atestiloj, inkluzive de la maksimuma validecperiodo.
Kaj poste la 10-an de septembro : konsorcianoj voĉdonis kontraŭ ofertas.
Результаты
Voĉdonado de Atestilo
Por (11 voĉoj): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (antaŭe Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Kontraŭ (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (iama) Trustwave)
Sindetenis (2): HARICA, TurkTrust
Atestilo konsumantoj voĉdonante
Por (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Kontraŭ: 0
Sindetenis: 0
Laŭ reguloj de CA/Browser Forum, atestilo devas esti aprobita de du trionoj de atestiloj kaj 50% plus unu voĉdono inter konsumantoj.
Reprezentantoj de Digicert por transsalti la voĉdonon, kie ili voĉdonintus favore al malpliigo de la valideca periodo de la atestiloj. Ili rimarkas, ke por iuj klientoj, la pli mallonga daŭro povas esti problemo, sed ekzistas longdaŭraj sekurecaj avantaĝoj.
Unu maniero aŭ alia, la industrio ankoraŭ ne pretas mallongigi la validecperiodon de atestiloj kaj tute ŝanĝi al aŭtomataj solvoj. Atestiladminstracioj mem povas oferti tiajn servojn, sed multaj klientoj ankoraŭ ne efektivigis aŭtomatigon. Tial, la redukto de la limdato al 397 tagoj estas prokrastita nuntempe. Sed la demando restas malfermita.
Nun Guglo povas provi efektivigi la normon "perforte", kiel ĝi faris kun la protokolo . Krome, ĝi ankaŭ estas subtenata de aliaj programistoj: Apple, Microsoft, Mozilla kaj Opera.
Ni rememoru, ke plena aŭtomatigo estas unu el la principoj, sur kiuj baziĝas la laboro de la senprofita atesta centro Let's Encrypt. Ĝi eldonas senpagajn atestilojn al ĉiuj, sed la maksimuma vivdaŭro de atestilo estas limigita al 90 tagoj. Atestiloj havas mallongajn vivdaŭrojn :
- limigante la damaĝon de kompromititaj ŝlosiloj kaj malĝuste eldonitaj atestiloj, ĉar ili estas uzataj dum pli mallonga tempodaŭro;
- mallongdaŭraj atestiloj subtenas kaj instigas aŭtomatigon, kiu estas nepre necesa por la facileco de uzo de HTTPS. Se ni migros la tutan Tutmondan Reton al HTTPS, tiam ni ne povas atendi, ke la administranto de ĉiu ekzistanta retejo permane ĝisdatigas atestojn. Post kiam eldonado kaj renovigoj de atestiloj fariĝos plene aŭtomatigitaj, pli mallongaj atestildaŭroj fariĝos pli oportunaj kaj praktikaj.
montris, ke 73,7% de respondantoj "prefere subtenas" mallongigi la validecperiodon de atestiloj.
Koncerne kaŝi la EV-ikonon por SSL-atestiloj en la adresbreto, la konsorcio ne voĉdonis pri ĉi tiu afero, ĉar la afero de retumila UI estas tute ene de la kompetenteco de la programistoj. En septembro-oktobro, novaj versioj de Chrome 77 kaj Firefox 70 estos publikigitaj, kiuj senigos EV-atestiloj je speciala loko en la retumila adresbreto. Jen kiel aspektas la ŝanĝo uzante la labortablan version de Firefox 70 kiel ekzemplo:
Estis:
Volo:
Laŭ sekureceksperto Troy Hunt, forigante EV-informojn de la adresbreto de retumiloj .
fonto: www.habr.com