26. juuli 2019 Google vĂ€hendada SSL/TLS-serveri sertifikaatide maksimaalset kehtivusaega praeguselt 825 pĂ€evalt 397 pĂ€evani (umbes 13 kuud), st ligikaudu poole vĂ”rra. Google usub, et ainult sertifikaatidega toimingute tĂ€ielik automatiseerimine aitab vabaneda praegustest turvaprobleemidest, mis on sageli tingitud inimteguritest. SeetĂ”ttu peaks ideaalis pĂŒĂŒdlema lĂŒhiajaliste sertifikaatide automatiseeritud vĂ€ljastamise poole.
KĂŒsimus pandi hÀÀletusele CA/Browser Forumis (CABF), mis seab nĂ”uded SSL/TLS-sertifikaatidele, sealhulgas maksimaalse kehtivusaja.
Ja siis 10. september : konsortsiumi liikmed hÀÀletasid ĐżŃĐŸŃĐžĐČ soovitusi.
JĂ€reldused
Sertifikaadi vÀljaandja hÀÀletamine
poolt (11 hÀÀlt): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (endine Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Vastu (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, vÔrgulahendused, OATI, SECOM, SwissSign, TWCA, TrustTrustCor (turvaline) Trustwave)
JĂ€i erapooletuks (2): HARICA, TurkTrust
Sertifikaadi tarbijad hÀÀletavad
(7) jaoks: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
ĐŃĐŸŃĐžĐČ: 0
JĂ€i erapooletuks: 0
CA/Browser Forumi reeglite kohaselt peab sertifikaadi heaks kiitma kaks kolmandikku sertifikaadi vĂ€ljaandjatest ja 50% pluss ĂŒks hÀÀl tarbijate seas.
Digicerti esindajad hÀÀletuse vahelejĂ€tmise eest, kus oleks hÀÀletanud tunnistuste kehtivusaja lĂŒhendamise poolt. Nad mĂ€rgivad, et mĂ”ne kliendi jaoks vĂ”ib lĂŒhem kestus olla probleem, kuid sellel on pikaajaline turvalisus.
Nii vĂ”i teisiti pole tööstus veel valmis sertifikaatide kehtivusaega lĂŒhendama ja tĂ€ielikult automatiseeritud lahendustele ĂŒle minema. Sertifitseerimisasutused vĂ”ivad ise selliseid teenuseid pakkuda, kuid paljud kliendid pole veel automatiseerimist rakendanud. SeetĂ”ttu lĂŒkkub tĂ€htaja lĂŒhendamine 397 pĂ€evale praegu edasi. Kuid kĂŒsimus jÀÀb lahtiseks.
NĂŒĂŒd vĂ”ib Google proovida standardit "sunniviisiliselt" rakendada, nagu ta tegi protokolli puhul . Lisaks toetavad seda ka teised arendajad: Apple, Microsoft, Mozilla ja Opera.
Pidagem meeles, et tĂ€isautomaatika on ĂŒks pĂ”himĂ”tetest, millel mittetulundusliku sertifitseerimiskeskuse Letâs Encrypt töö pĂ”hineb. See vĂ€ljastab kĂ”igile tasuta sertifikaate, kuid sertifikaadi maksimaalne eluiga on piiratud 90 pĂ€evaga. Sertifikaatide kehtivusaeg on lĂŒhike :
- ohustatud vĂ”tmete ja valesti vĂ€ljastatud sertifikaatide kahju piiramine, kuna neid kasutatakse lĂŒhema aja jooksul;
- lĂŒhiajalised sertifikaadid toetavad ja soodustavad automatiseerimist, mis on HTTPS-i kasutusmugavuse huvides hĂ€davajalik. Kui kavatseme kogu World Wide Webi HTTPS-ile ĂŒle viia, ei saa me eeldada, et iga olemasoleva saidi administraator vĂ€rskendab sertifikaate kĂ€sitsi. Kui sertifikaatide vĂ€ljastamine ja uuendamine on tĂ€ielikult automatiseeritud, muutub sertifikaadi lĂŒhem eluiga mugavamaks ja praktilisemaks.
nĂ€itas, et 73,7% vastanutest âpigem pooldabâ sertifikaatide kehtivusaja lĂŒhendamist.
Mis puutub SSL-sertifikaatide EV ikooni aadressiribale peitmisse, siis konsortsium seda kĂŒsimust ei hÀÀletanud, sest brauseri kasutajaliidese kĂŒsimus on tĂ€ielikult arendajate pĂ€devuses. Septembris-oktoobris ilmuvad uued Chrome 77 ja Firefox 70 versioonid, mis jĂ€tavad EV sertifikaadid ilma brauseri aadressiribal erilise koha. Firefox 70 töölauaversiooni nĂ€itel nĂ€eb muudatus vĂ€lja jĂ€rgmiselt.
See oli:
![]()
Tahe:

Turvaeksperdi Troy Hunti sÔnul EV teabe eemaldamine brauserite aadressiribalt .
Allikas: www.habr.com
