26. juuli 2019 Google
Küsimus pandi hääletusele CA/Browser Forumis (CABF), mis seab nõuded SSL/TLS-sertifikaatidele, sealhulgas maksimaalse kehtivusaja.
Ja siis 10. september
Järeldused
Sertifikaadi väljaandja hääletamine
poolt (11 häält): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (endine Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Vastu (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, võrgulahendused, OATI, SECOM, SwissSign, TWCA, TrustTrustCor (turvaline) Trustwave)
Jäi erapooletuks (2): HARICA, TurkTrust
Sertifikaadi tarbijad hääletavad
(7) jaoks: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Против: 0
Jäi erapooletuks: 0
CA/Browser Forumi reeglite kohaselt peab sertifikaadi heaks kiitma kaks kolmandikku sertifikaadi väljaandjatest ja 50% pluss üks hääl tarbijate seas.
Digicerti esindajad
Nii või teisiti pole tööstus veel valmis sertifikaatide kehtivusaega lühendama ja täielikult automatiseeritud lahendustele üle minema. Sertifitseerimisasutused võivad ise selliseid teenuseid pakkuda, kuid paljud kliendid pole veel automatiseerimist rakendanud. Seetõttu lükkub tähtaja lühendamine 397 päevale praegu edasi. Kuid küsimus jääb lahtiseks.
Nüüd võib Google proovida standardit "sunniviisiliselt" rakendada, nagu ta tegi protokolli puhul
Pidagem meeles, et täisautomaatika on üks põhimõtetest, millel mittetulundusliku sertifitseerimiskeskuse Let’s Encrypt töö põhineb. See väljastab kõigile tasuta sertifikaate, kuid sertifikaadi maksimaalne eluiga on piiratud 90 päevaga. Sertifikaatide kehtivusaeg on lühike
- ohustatud võtmete ja valesti väljastatud sertifikaatide kahju piiramine, kuna neid kasutatakse lühema aja jooksul;
- lühiajalised sertifikaadid toetavad ja soodustavad automatiseerimist, mis on HTTPS-i kasutusmugavuse huvides hädavajalik. Kui kavatseme kogu World Wide Webi HTTPS-ile üle viia, ei saa me eeldada, et iga olemasoleva saidi administraator värskendab sertifikaate käsitsi. Kui sertifikaatide väljastamine ja uuendamine on täielikult automatiseeritud, muutub sertifikaadi lühem eluiga mugavamaks ja praktilisemaks.
Mis puutub SSL-sertifikaatide EV ikooni aadressiribale peitmisse, siis konsortsium seda küsimust ei hääletanud, sest brauseri kasutajaliidese küsimus on täielikult arendajate pädevuses. Septembris-oktoobris ilmuvad uued Chrome 77 ja Firefox 70 versioonid, mis jätavad EV sertifikaadid ilma brauseri aadressiribal erilise koha. Firefox 70 töölauaversiooni näitel näeb muudatus välja järgmiselt.
See oli:
Tahe:
Turvaeksperdi Troy Hunti sõnul EV teabe eemaldamine brauserite aadressiribalt
Allikas: www.habr.com