CA/B foorum hÀÀletas SSL-sertifikaatide kehtivusaja vÀhendamise 397 pÀevani vastu

26. juuli 2019 Google ettepaneku teinud vĂ€hendada SSL/TLS-serveri sertifikaatide maksimaalset kehtivusaega praeguselt 825 pĂ€evalt 397 pĂ€evani (umbes 13 kuud), st ligikaudu poole vĂ”rra. Google usub, et ainult sertifikaatidega toimingute tĂ€ielik automatiseerimine aitab vabaneda praegustest turvaprobleemidest, mis on sageli tingitud inimteguritest. SeetĂ”ttu peaks ideaalis pĂŒĂŒdlema lĂŒhiajaliste sertifikaatide automatiseeritud vĂ€ljastamise poole.

KĂŒsimus pandi hÀÀletusele CA/Browser Forumis (CABF), mis seab nĂ”uded SSL/TLS-sertifikaatidele, sealhulgas maksimaalse kehtivusaja.

Ja siis 10. september tulemused vĂ€lja kuulutatud: konsortsiumi liikmed hÀÀletasid ĐżŃ€ĐŸŃ‚ĐžĐČ soovitusi.

JĂ€reldused

Sertifikaadi vÀljaandja hÀÀletamine

poolt (11 hÀÀlt): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (endine Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Vastu (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, vÔrgulahendused, OATI, SECOM, SwissSign, TWCA, TrustTrustCor (turvaline) Trustwave)

JĂ€i erapooletuks (2): HARICA, TurkTrust

Sertifikaadi tarbijad hÀÀletavad

(7) jaoks: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

ĐŸŃ€ĐŸŃ‚ĐžĐČ: 0

JĂ€i erapooletuks: 0

CA/Browser Forumi reeglite kohaselt peab sertifikaadi heaks kiitma kaks kolmandikku sertifikaadi vĂ€ljaandjatest ja 50% pluss ĂŒks hÀÀl tarbijate seas.

Digicerti esindajad vabandas hÀÀletuse vahelejĂ€tmise eest, kus oleks hÀÀletanud tunnistuste kehtivusaja lĂŒhendamise poolt. Nad mĂ€rgivad, et mĂ”ne kliendi jaoks vĂ”ib lĂŒhem kestus olla probleem, kuid sellel on pikaajaline turvalisus.

Nii vĂ”i teisiti pole tööstus veel valmis sertifikaatide kehtivusaega lĂŒhendama ja tĂ€ielikult automatiseeritud lahendustele ĂŒle minema. Sertifitseerimisasutused vĂ”ivad ise selliseid teenuseid pakkuda, kuid paljud kliendid pole veel automatiseerimist rakendanud. SeetĂ”ttu lĂŒkkub tĂ€htaja lĂŒhendamine 397 pĂ€evale praegu edasi. Kuid kĂŒsimus jÀÀb lahtiseks.

NĂŒĂŒd vĂ”ib Google proovida standardit "sunniviisiliselt" rakendada, nagu ta tegi protokolli puhul Sertifikaadi lĂ€bipaistvus. Lisaks toetavad seda ka teised arendajad: Apple, Microsoft, Mozilla ja Opera.

Pidagem meeles, et tĂ€isautomaatika on ĂŒks pĂ”himĂ”tetest, millel mittetulundusliku sertifitseerimiskeskuse Let’s Encrypt töö pĂ”hineb. See vĂ€ljastab kĂ”igile tasuta sertifikaate, kuid sertifikaadi maksimaalne eluiga on piiratud 90 pĂ€evaga. Sertifikaatide kehtivusaeg on lĂŒhike kaks peamist eelist:

  1. ohustatud vĂ”tmete ja valesti vĂ€ljastatud sertifikaatide kahju piiramine, kuna neid kasutatakse lĂŒhema aja jooksul;
  2. lĂŒhiajalised sertifikaadid toetavad ja soodustavad automatiseerimist, mis on HTTPS-i kasutusmugavuse huvides hĂ€davajalik. Kui kavatseme kogu World Wide Webi HTTPS-ile ĂŒle viia, ei saa me eeldada, et iga olemasoleva saidi administraator vĂ€rskendab sertifikaate kĂ€sitsi. Kui sertifikaatide vĂ€ljastamine ja uuendamine on tĂ€ielikult automatiseeritud, muutub sertifikaadi lĂŒhem eluiga mugavamaks ja praktilisemaks.

GlobalSigni uuring HabrĂ© kohta nĂ€itas, et 73,7% vastanutest „pigem pooldab“ sertifikaatide kehtivusaja lĂŒhendamist.

Mis puutub SSL-sertifikaatide EV ikooni aadressiribale peitmisse, siis konsortsium seda kĂŒsimust ei hÀÀletanud, sest brauseri kasutajaliidese kĂŒsimus on tĂ€ielikult arendajate pĂ€devuses. Septembris-oktoobris ilmuvad uued Chrome 77 ja Firefox 70 versioonid, mis jĂ€tavad EV sertifikaadid ilma brauseri aadressiribal erilise koha. Firefox 70 töölauaversiooni nĂ€itel nĂ€eb muudatus vĂ€lja jĂ€rgmiselt.

See oli:

CA/B foorum hÀÀletas SSL-sertifikaatide kehtivusaja vÀhendamise 397 pÀevani vastu

Tahe:

CA/B foorum hÀÀletas SSL-sertifikaatide kehtivusaja vÀhendamise 397 pÀevani vastu

Turvaeksperdi Troy Hunti sĂ”nul EV teabe eemaldamine brauserite aadressiribalt tegelikult matab seda tĂŒĂŒpi sertifikaate.

Allikas: www.habr.com

Ostke DDoS-kaitsega saitide jaoks usaldusvÀÀrne hostimine, VPS VDS-serverid đŸ”„ Osta usaldusvÀÀrne veebimajutus DDoS-kaitsega, VPS VDS serverid | ProHoster