26 juillet 2019 Google
La question a été soumise au vote du CA/Browser Forum (CABF), qui fixe les exigences pour les certificats SSL/TLS, y compris la période de validité maximale.
Et puis le 10 septembre
résultats
Vote des émetteurs de certificats
Pour (11 voix): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anciennement Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contre (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ancien Vague de confiance)
Abstention (2): HARICA, TurkTrust
Les consommateurs de certificats votent
Pour (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contre: 0
Abstention: 0
Selon les règles du CA/Browser Forum, un certificat doit être approuvé par les deux tiers des émetteurs de certificats et par 50 % plus un vote parmi les consommateurs.
Représentants de Digicert
D'une manière ou d'une autre, l'industrie n'est pas encore prête à raccourcir la durée de validité des certificats et à passer complètement à des solutions automatisées. Les autorités de certification elles-mêmes peuvent proposer de tels services, mais de nombreux clients n'ont pas encore mis en œuvre l'automatisation. La réduction du délai à 397 jours est donc reportée pour l’instant. Mais la question reste ouverte.
Google pourrait désormais essayer d’implémenter la norme « de force », comme il l’a fait avec le protocole
Rappelons que l'automatisation complète est l'un des principes sur lesquels repose le travail du centre de certification à but non lucratif Let's Encrypt. Elle délivre des certificats gratuits à tous, mais la durée de vie maximale d'un certificat est limitée à 90 jours. Les certificats ont une courte durée de vie
- limiter les dommages causés par les clés compromises et les certificats mal émis, car ils sont utilisés sur une période de temps plus courte ;
- les certificats de courte durée prennent en charge et encouragent l’automatisation, ce qui est absolument nécessaire pour la facilité d’utilisation du HTTPS. Si nous envisageons de migrer l'ensemble du World Wide Web vers HTTPS, nous ne pouvons pas nous attendre à ce que l'administrateur de chaque site existant mette à jour manuellement les certificats. Une fois que l’émission et le renouvellement des certificats seront entièrement automatisés, les durées de vie plus courtes des certificats deviendront plus pratiques.
Quant au masquage de l'icône EV pour les certificats SSL dans la barre d'adresse, le consortium n'a pas voté sur cette question, car la question de l'interface utilisateur du navigateur relève entièrement de la compétence des développeurs. En septembre-octobre, de nouvelles versions de Chrome 77 et Firefox 70 seront publiées, ce qui privera les certificats EV d'une place particulière dans la barre d'adresse du navigateur. Voici à quoi ressemble le changement en prenant comme exemple la version de bureau de Firefox 70 :
C'était:
Ce sera:
Selon l'expert en sécurité Troy Hunt, la suppression des informations EV de la barre d'adresse des navigateurs
Source: habr.com