26 جولای 2019 گوگل پیشنهاد داد حداکثر مدت اعتبار گواهی‌های سرور SSL/TLS را از 825 روز فعلی به 397 روز (حدود 13 ماه)، یعنی تقریباً به نصف کاهش دهید. گوگل معتقد است که تنها اتوماسیون کامل اقدامات با گواهینامه ها از مشکلات امنیتی فعلی خلاص می شود که اغلب به عوامل انسانی نسبت داده می شود. بنابراین، در حالت ایده آل، باید برای صدور خودکار گواهی های کوتاه مدت تلاش کرد.

این موضوع در انجمن CA/Browser Forum (CABF) به رأی گذاشته شد، که الزاماتی را برای گواهینامه های SSL/TLS از جمله حداکثر مدت اعتبار تعیین می کند.

و سپس 10 سپتامبر نتایج اعلام شد: اعضای کنسرسیوم رای دادند против ارائه می دهد.

یافته ها

رای صادرکننده گواهی

برای (11 رای): Amazon، Buypass، Certigna (DHIMYOTIS)، certSIGN، Sectigo (سابق Comodo CA)، eMudhra، Kamu SM، Let's Encrypt، Logius، PKIoverheid، SHECA، SSL.com

در مقابل (20): Camerfirma، Certum (Asseco)، CFCA، Chunghwa Telecom، Comsign، D-TRUST، DarkMatter، Entrust Datacard، Firmaprofesional، GDCA، GlobalSign، GoDaddy، Izenpe، Network Solutions، OATI، SECOM، SwissSign، TWCATrustforme، Trustwave)

ممتنع (2): HARICA، TurkTrust

گواهی رای مصرف کنندگان

برای (7): اپل، سیسکو، گوگل، مایکروسافت، موزیلا، اپرا، 360

علیه: 0

ممتنع: 0

طبق قوانین CA/Browser Forum، گواهی باید توسط دو سوم صادرکنندگان گواهینامه و 50% به علاوه یک رای در میان مصرف کنندگان تایید شود.

نمایندگان Digicert عذرخواهی کرد برای پرش از رای، جایی که آنها به نفع کاهش مدت اعتبار گواهینامه ها رای می دادند. آنها خاطرنشان می کنند که برای برخی از مشتریان، مدت زمان کوتاه تر ممکن است مشکل ساز باشد، اما مزایای امنیتی بلندمدتی دارد.

به هر حال، صنعت هنوز آماده کوتاه کردن دوره اعتبار گواهینامه ها و تغییر کامل به راه حل های خودکار نیست. خود مقامات گواهی می توانند چنین خدماتی را ارائه دهند، اما بسیاری از مشتریان هنوز اتوماسیون را اجرا نکرده اند. بنابراین کاهش مهلت به 397 روز فعلا به تعویق افتاده است. اما سوال همچنان باز است.

اکنون گوگل ممکن است سعی کند استاندارد را به زور اجرا کند، همانطور که با پروتکل انجام داد شفافیت گواهی. علاوه بر این، توسط توسعه دهندگان دیگر نیز پشتیبانی می شود: اپل، مایکروسافت، موزیلا و اپرا.

بیاد داشته باشیم که اتوماسیون کامل یکی از اصولی است که کار مرکز صدور گواهینامه غیرانتفاعی Let’s Encrypt بر آن استوار است. برای همه گواهینامه های رایگان صادر می کند، اما حداکثر طول عمر یک گواهی به 90 روز محدود می شود. گواهینامه ها عمر کوتاهی دارند دو مزیت اصلی:

1. محدود کردن آسیب کلیدهای در معرض خطر و گواهینامه های صادر شده نادرست، زیرا آنها در مدت زمان کوتاه تری استفاده می شوند.
2. گواهینامه های کوتاه مدت از اتوماسیون پشتیبانی و تشویق می کنند که برای سهولت استفاده از HTTPS کاملاً ضروری است. اگر می‌خواهیم کل وب جهانی را به HTTPS منتقل کنیم، نمی‌توانیم انتظار داشته باشیم که مدیر هر سایت موجود به‌طور دستی گواهی‌ها را به‌روزرسانی کند. هنگامی که صدور و تمدید گواهی به طور کامل خودکار شود، طول عمر گواهی کوتاه تر راحت تر و کاربردی تر خواهد شد.

نظرسنجی GlobalSign در Habré نشان داد که 73,7 درصد از پاسخ دهندگان از کوتاه شدن مدت اعتبار گواهینامه ها "به جای حمایت" هستند.

در مورد پنهان کردن نماد EV برای گواهی‌های SSL در نوار آدرس، کنسرسیوم به این موضوع رأی نداد، زیرا موضوع رابط کاربری مرورگر کاملاً در صلاحیت توسعه‌دهندگان است. در ماه های سپتامبر تا اکتبر، نسخه های جدید کروم 77 و فایرفاکس 70 منتشر خواهند شد که گواهینامه های EV را از جایگاه ویژه ای در نوار آدرس مرورگر محروم می کند. این تغییر با استفاده از نسخه دسکتاپ فایرفاکس 70 به عنوان مثال به نظر می رسد:

این بود:

خواهد بود:

به گفته کارشناس امنیتی تروی هانت، حذف اطلاعات EV از نوار آدرس مرورگرها در واقع این نوع گواهی ها را دفن می کند.

منبع: www.habr.com