26. juuli 2019 Google vähendada SSL/TLS-serveri sertifikaatide maksimaalset kehtivusaega praeguselt 825 päevalt 397 päevani (umbes 13 kuud), st ligikaudu poole võrra. Google usub, et ainult sertifikaatidega toimingute täielik automatiseerimine aitab vabaneda praegustest turvaprobleemidest, mis on sageli tingitud inimteguritest. Seetõttu peaks ideaalis püüdlema lühiajaliste sertifikaatide automatiseeritud väljastamise poole.
Küsimus pandi hääletusele CA/Browser Forumis (CABF), mis seab nõuded SSL/TLS-sertifikaatidele, sealhulgas maksimaalse kehtivusaja.
Ja siis 10. september : konsortsiumi liikmed hääletasid против soovitusi.
Järeldused
Sertifikaadi väljaandja hääletamine
poolt (11 häält): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (endine Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Vastu (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, võrgulahendused, OATI, SECOM, SwissSign, TWCA, TrustTrustCor (turvaline) Trustwave)
Jäi erapooletuks (2): HARICA, TurkTrust
Sertifikaadi tarbijad hääletavad
(7) jaoks: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Против: 0
Jäi erapooletuks: 0
CA/Browser Forumi reeglite kohaselt peab sertifikaadi heaks kiitma kaks kolmandikku sertifikaadi väljaandjatest ja 50% pluss üks hääl tarbijate seas.
Digicerti esindajad hääletuse vahelejätmise eest, kus oleks hääletanud tunnistuste kehtivusaja lühendamise poolt. Nad märgivad, et mõne kliendi jaoks võib lühem kestus olla probleem, kuid sellel on pikaajaline turvalisus.
Nii või teisiti pole tööstus veel valmis sertifikaatide kehtivusaega lühendama ja täielikult automatiseeritud lahendustele üle minema. Sertifitseerimisasutused võivad ise selliseid teenuseid pakkuda, kuid paljud kliendid pole veel automatiseerimist rakendanud. Seetõttu lükkub tähtaja lühendamine 397 päevale praegu edasi. Kuid küsimus jääb lahtiseks.
Nüüd võib Google proovida standardit "sunniviisiliselt" rakendada, nagu ta tegi protokolli puhul . Lisaks toetavad seda ka teised arendajad: Apple, Microsoft, Mozilla ja Opera.
Pidagem meeles, et täisautomaatika on üks põhimõtetest, millel mittetulundusliku sertifitseerimiskeskuse Let’s Encrypt töö põhineb. See väljastab kõigile tasuta sertifikaate, kuid sertifikaadi maksimaalne eluiga on piiratud 90 päevaga. Sertifikaatide kehtivusaeg on lühike :
- ohustatud võtmete ja valesti väljastatud sertifikaatide kahju piiramine, kuna neid kasutatakse lühema aja jooksul;
- lühiajalised sertifikaadid toetavad ja soodustavad automatiseerimist, mis on HTTPS-i kasutusmugavuse huvides hädavajalik. Kui kavatseme kogu World Wide Webi HTTPS-ile üle viia, ei saa me eeldada, et iga olemasoleva saidi administraator värskendab sertifikaate käsitsi. Kui sertifikaatide väljastamine ja uuendamine on täielikult automatiseeritud, muutub sertifikaadi lühem eluiga mugavamaks ja praktilisemaks.
näitas, et 73,7% vastanutest „pigem pooldab“ sertifikaatide kehtivusaja lühendamist.
Mis puutub SSL-sertifikaatide EV ikooni aadressiribale peitmisse, siis konsortsium seda küsimust ei hääletanud, sest brauseri kasutajaliidese küsimus on täielikult arendajate pädevuses. Septembris-oktoobris ilmuvad uued Chrome 77 ja Firefox 70 versioonid, mis jätavad EV sertifikaadid ilma brauseri aadressiribal erilise koha. Firefox 70 töölauaversiooni näitel näeb muudatus välja järgmiselt.
See oli:
Tahe:
Turvaeksperdi Troy Hunti sõnul EV teabe eemaldamine brauserite aadressiribalt .
Allikas: www.habr.com