26ko uztailaren 2019a Google murriztea SSL/TLS zerbitzariaren ziurtagirien gehienezko balio-epea 825 egunetatik 397 egunetara (13 hilabete inguru), hau da, erdira gutxi gorabehera. Google-k uste du ziurtagiriekin egindako ekintzen automatizazio osoak soilik kenduko dituela egungo segurtasun-arazoak, askotan giza faktoreei egozten zaizkienak. Hori dela eta, ezin hobea da iraupen laburreko ziurtagiriak automatikoki igortzen ahalegindu behar da.
Gaia CA/Browser Forum (CABF) bozketan jarri zen, SSL/TLS ziurtagirien baldintzak ezartzen dituena, gehienezko balio-epea barne.
Eta gero irailaren 10ean : partzuergoko kideek bozkatu dute ΠΏΡΠΎΡΠΈΠ² eskaintzak.
Findings
Ziurtagiri-jaulkitzailearen botoa
Alde (11 boto): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (lehen Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Kontra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (lehen Trustwave)
Abstentzioa (2): HARICA, TurkTrust
Ziurtagiria kontsumitzaileen botoa ematea
(7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
aurka: 0
Abstenitu egin zen: 0
CA/Browser Forum arauen arabera, ziurtagiri bat ziurtagiri-emaileen bi herenek onartu behar dute eta kontsumitzaileen % 50 gehi boto bat.
Digicert-eko ordezkariak botoa saltatzeagatik, non ziurtagirien balio-epea murriztearen alde bozkatuko zuten. Bezero batzuentzat iraupen laburragoa arazoa izan daitekeela ohartarazi dute, baina epe luzerako segurtasun abantailak daudela.
Nola edo hala, industria ez dago oraindik prest ziurtagirien balio-epea laburtzeko eta irtenbide automatizatuetara erabat aldatzeko. Ziurtagiri-agintariek berek eskain ditzakete horrelako zerbitzuak, baina bezero askok oraindik ez dute automatizazioa ezarri. Hori dela eta, epea 397 egunera murriztea atzeratu egiten da oraingoz. Baina galderak zabalik jarraitzen du.
Orain Google estandarra "indarrez" ezartzen saia daiteke, protokoloarekin egin bezala . Gainera, beste garatzaile batzuek ere onartzen dute: Apple, Microsoft, Mozilla eta Opera.
Gogora dezagun automatizazio osoa Let's Encrypt irabazi asmorik gabeko ziurtapen zentroaren lana oinarritzen den printzipioetako bat dela. Doako ziurtagiriak ematen dizkie guztiei, baina ziurtagiri baten gehienezko iraupena 90 egunetara mugatzen da. Ziurtagiriek bizitza laburra dute :
- arriskuan dauden gakoen eta gaizki igorritako ziurtagirien kalteak mugatzea, denbora laburragoan erabiltzen baitira;
- Iraupen laburreko ziurtagiriek automatizazioa onartzen eta bultzatzen dute, eta hori guztiz beharrezkoa da HTTPS erabiltzeko erraztasuna lortzeko. World Wide Web osoa HTTPSra migratuko badugu, ezin dugu espero lehendik dagoen gune bakoitzaren administratzaileak ziurtagiriak eskuz eguneratzea. Ziurtagiriak jaulkitzea eta berritzea guztiz automatizatu ondoren, ziurtagirien bizitza laburragoa erosoagoa eta praktikoagoa izango da.
inkestatuen % 73,7k ziurtagirien balio-epea laburtzea "nahiago onartzen" duela erakutsi du.
Helbide-barran SSL ziurtagirien EV ikonoa ezkutatzeari dagokionez, partzuergoak ez zuen gai honi buruz bozkatu, arakatzailearen interfazearen gaia garatzaileen eskumenekoa baita. Iraila-urrian, Chrome 77 eta Firefox 70 bertsio berriak kaleratuko dira, eta horrek EV ziurtagiriei leku berezia kenduko die arakatzailearen helbide-barran. Hona hemen aldaketaren itxura Firefox 70 mahaigaineko bertsioa adibide gisa erabiliz:
izan zen:
Will:
Troy Hunt segurtasun adituaren arabera, EV informazioa arakatzaileen helbide barratik kentzea .
Iturria: www.habr.com