26 de julio de 2019 Google
La cuestión se sometió a votación en el CA/Browser Forum (CABF), que establece los requisitos para los certificados SSL/TLS, incluido el período máximo de validez.
Y luego el 10 de septiembre.
resultados
Votación del emisor del certificado
A favor (11 votos): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
En contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (antes) onda de confianza)
Abstención (2): HARICA, TurkTrust
Consumidores de certificados votando
Para (7): Apple, Cisco, Google, Microsoft, Mozilla, Ópera, 360
Contra: 0
Abstención: 0
Según las reglas de CA/Browser Forum, un certificado debe ser aprobado por dos tercios de los emisores de certificados y el 50% más un voto entre los consumidores.
Representantes de Digicert
De una forma u otra, la industria aún no está preparada para acortar el período de validez de los certificados y cambiar completamente a soluciones automatizadas. Las propias autoridades certificadoras pueden ofrecer dichos servicios, pero muchos clientes aún no han implementado la automatización. Por tanto, se pospone por ahora la reducción del plazo a 397 días. Pero la pregunta sigue abierta.
Ahora Google puede intentar implementar el estándar “a la fuerza”, como hizo con el protocolo
Recordemos que la automatización total es uno de los principios en los que se basa el trabajo del centro de certificación sin fines de lucro Let's Encrypt. Emite certificados gratuitos para todos, pero la vida útil máxima de un certificado está limitada a 90 días. Los certificados tienen una vida útil corta
- limitar el daño causado por claves comprometidas y certificados emitidos incorrectamente, ya que se utilizan durante un período de tiempo más corto;
- Los certificados de corta duración respaldan y fomentan la automatización, que es absolutamente necesaria para facilitar el uso de HTTPS. Si vamos a migrar toda la World Wide Web a HTTPS, entonces no podemos esperar que el administrador de cada sitio existente actualice los certificados manualmente. Una vez que la emisión y renovación de certificados se automaticen por completo, la duración más corta de los certificados será más conveniente y práctica.
En cuanto a ocultar el icono EV para los certificados SSL en la barra de direcciones, el consorcio no votó sobre este tema, porque la cuestión de la interfaz de usuario del navegador es enteramente competencia de los desarrolladores. En septiembre-octubre, se lanzarán nuevas versiones de Chrome 77 y Firefox 70, que privarán a los certificados EV de un lugar especial en la barra de direcciones del navegador. Así es como se ve el cambio usando la versión de escritorio de Firefox 70 como ejemplo:
Fue
Será:
Según el experto en seguridad Troy Hunt, eliminar la información de EV de la barra de direcciones de los navegadores
Fuente: habr.com