26 de julio de 2019 Google reducir el período máximo de validez de los certificados de servidor SSL/TLS de los 825 días actuales a 397 días (unos 13 meses), es decir, aproximadamente a la mitad. Google cree que sólo la automatización completa de las acciones con certificados solucionará los problemas de seguridad actuales, que a menudo se atribuyen a factores humanos. Por lo tanto, lo ideal sería esforzarse por lograr la emisión automatizada de certificados de corta duración.
La cuestión se sometió a votación en el CA/Browser Forum (CABF), que establece los requisitos para los certificados SSL/TLS, incluido el período máximo de validez.
Y luego el 10 de septiembre. : los miembros del consorcio votaron против sugerencias
resultados
Votación del emisor del certificado
A favor (11 votos): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
En contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (antes) onda de confianza)
Abstención (2): HARICA, TurkTrust
Consumidores de certificados votando
Para (7): Apple, Cisco, Google, Microsoft, Mozilla, Ópera, 360
Contra: 0
Abstención: 0
Según las reglas de CA/Browser Forum, un certificado debe ser aprobado por dos tercios de los emisores de certificados y el 50% más un voto entre los consumidores.
Representantes de Digicert por saltarse la votación, donde habrían votado a favor de reducir el período de validez de los certificados. Señalan que para algunos clientes, la duración más corta puede ser un problema, pero existen beneficios de seguridad a largo plazo.
De una forma u otra, la industria aún no está preparada para acortar el período de validez de los certificados y cambiar completamente a soluciones automatizadas. Las propias autoridades certificadoras pueden ofrecer dichos servicios, pero muchos clientes aún no han implementado la automatización. Por tanto, se pospone por ahora la reducción del plazo a 397 días. Pero la pregunta sigue abierta.
Ahora Google puede intentar implementar el estándar “a la fuerza”, como hizo con el protocolo . Además, también cuenta con el respaldo de otros desarrolladores: Apple, Microsoft, Mozilla y Opera.
Recordemos que la automatización total es uno de los principios en los que se basa el trabajo del centro de certificación sin fines de lucro Let's Encrypt. Emite certificados gratuitos para todos, pero la vida útil máxima de un certificado está limitada a 90 días. Los certificados tienen una vida útil corta :
- limitar el daño causado por claves comprometidas y certificados emitidos incorrectamente, ya que se utilizan durante un período de tiempo más corto;
- Los certificados de corta duración respaldan y fomentan la automatización, que es absolutamente necesaria para facilitar el uso de HTTPS. Si vamos a migrar toda la World Wide Web a HTTPS, entonces no podemos esperar que el administrador de cada sitio existente actualice los certificados manualmente. Una vez que la emisión y renovación de certificados se automaticen por completo, la duración más corta de los certificados será más conveniente y práctica.
mostró que el 73,7% de los encuestados "preferiría" acortar el período de validez de los certificados.
En cuanto a ocultar el icono EV para los certificados SSL en la barra de direcciones, el consorcio no votó sobre este tema, porque la cuestión de la interfaz de usuario del navegador es enteramente competencia de los desarrolladores. En septiembre-octubre, se lanzarán nuevas versiones de Chrome 77 y Firefox 70, que privarán a los certificados EV de un lugar especial en la barra de direcciones del navegador. Así es como se ve el cambio usando la versión de escritorio de Firefox 70 como ejemplo:
Fue
Será:
Según el experto en seguridad Troy Hunt, eliminar la información de EV de la barra de direcciones de los navegadores .
Fuente: habr.com