26. heinäkuuta 2019 Google lyhentää SSL/TLS-palvelinvarmenteiden enimmäisvoimassaoloaikaa nykyisestä 825 päivästä 397 päivään (noin 13 kuukautta), eli noin puoleen. Google uskoo, että vain täydellinen toimintojen automatisointi varmenteilla päästää eroon nykyisistä turvallisuusongelmista, jotka usein johtuvat inhimillisistä tekijöistä. Siksi ihannetapauksessa pitäisi pyrkiä lyhytaikaisten varmenteiden automaattiseen myöntämiseen.
Asiasta äänestettiin CA/Browser Forumissa (CABF), joka asettaa SSL/TLS-varmenteille vaatimukset, mukaan lukien enimmäisvoimassaoloajan.
Ja sitten syyskuun 10 : konsortion jäsenet äänestivät против ehdotuksia.
Tulokset
Sertifikaatin myöntäjän äänestys
puolesta (11 ääntä): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (entinen Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
vastaan (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Verkkoratkaisut, OATI, SECOM, SwissSign, TWCA, TrustTrustCor (Securee) Trustwave)
Pidättyi äänestämästä (2): HARICA, TurkTrust
Todistus kuluttajat äänestävät
(7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Vastaan: 0
Pidättäytyi äänestämästä: 0
CA/Browser Forumin sääntöjen mukaan varmenteen on hyväksyttävä kaksi kolmasosaa varmenteen myöntäjistä ja 50 % plus yksi ääni kuluttajista.
Digicertin edustajat äänestyksen ohittamisesta, jossa he olisivat äänestäneet todistusten voimassaoloajan lyhentämisen puolesta. He huomauttavat, että joillekin asiakkaille lyhyempi kesto voi olla ongelma, mutta sillä on pitkän aikavälin turvallisuusetuja.
Tavalla tai toisella ala ei ole vielä valmis lyhentämään sertifikaattien voimassaoloaikaa ja siirtymään kokonaan automatisoituihin ratkaisuihin. Varmenneviranomaiset voivat itse tarjota tällaisia palveluita, mutta monet asiakkaat eivät ole vielä ottaneet käyttöön automaatiota. Siksi määräajan lyhentämistä 397 päivään lykätään toistaiseksi. Mutta kysymys jää avoimeksi.
Nyt Google voi yrittää ottaa standardin käyttöön "väkisin", kuten se teki protokollan kanssa . Lisäksi sitä tukevat myös muut kehittäjät: Apple, Microsoft, Mozilla ja Opera.
Muistakaamme, että täysautomaatio on yksi voittoa tavoittelemattoman sertifiointikeskuksen Let’s Encryptin työskentelyn periaatteista. Se myöntää kaikille ilmaisia varmenteita, mutta sertifikaatin enimmäiskesto on 90 päivää. Sertifikaatit ovat lyhytikäisiä :
- vaarantuneiden avainten ja väärin myönnettyjen varmenteiden aiheuttamien vahinkojen rajoittaminen, koska niitä käytetään lyhyemmän ajan;
- lyhytikäiset sertifikaatit tukevat ja kannustavat automatisointia, mikä on ehdottoman välttämätöntä HTTPS:n käytön helppouden kannalta. Jos aiomme siirtää koko World Wide Webin HTTPS:ään, emme voi odottaa jokaisen olemassa olevan sivuston järjestelmänvalvojan päivittävän varmenteita manuaalisesti. Kun varmenteiden myöntämisestä ja uusimisesta tulee täysin automatisoitua, lyhyemmistä varmenteiden eliniästä tulee kätevämpää ja käytännöllisempää.
osoitti, että 73,7 % vastaajista "kannattaa pikemminkin" varmenteiden voimassaoloajan lyhentämistä.
Mitä tulee SSL-varmenteiden EV-kuvakkeen piilottamiseen osoiteriville, konsortio ei äänestänyt asiasta, koska selainkäyttöliittymä on täysin kehittäjien vastuulla. Syys-lokakuussa julkaistaan Chrome 77:stä ja Firefox 70:stä uudet versiot, jotka vievät EV-varmenteilta erityisen paikan selaimen osoiterivillä. Tältä muutos näyttää käyttämällä esimerkkinä Firefox 70:n työpöytäversiota:
Se oli:
Tulee olemaan:
Tietoturvaasiantuntija Troy Huntin mukaan sähköautotietojen poistaminen selaimen osoiteriviltä .
Lähde: will.com