26 juillet 2019 Google réduire la durée de validité maximale des certificats de serveur SSL/TLS de 825 jours actuellement à 397 jours (environ 13 mois), soit environ de moitié. Google estime que seule une automatisation complète des actions avec des certificats permettra d'éliminer les problèmes de sécurité actuels, souvent attribués à des facteurs humains. L’idéal serait donc de s’efforcer de délivrer automatiquement des certificats de courte durée.
La question a été soumise au vote du CA/Browser Forum (CABF), qui fixe les exigences pour les certificats SSL/TLS, y compris la période de validité maximale.
Et puis le 10 septembre : les membres du consortium ont voté против suggestions
résultats
Vote des émetteurs de certificats
Pour (11 voix): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anciennement Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contre (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ancien Vague de confiance)
Abstention (2): HARICA, TurkTrust
Les consommateurs de certificats votent
Pour (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contre: 0
Abstention: 0
Selon les règles du CA/Browser Forum, un certificat doit être approuvé par les deux tiers des émetteurs de certificats et par 50 % plus un vote parmi les consommateurs.
Représentants de Digicert pour avoir sauté le vote, où ils auraient voté en faveur d'une réduction de la durée de validité des certificats. Ils notent que pour certains clients, la durée plus courte peut être un problème, mais qu'elle présente des avantages en matière de sécurité à long terme.
D'une manière ou d'une autre, l'industrie n'est pas encore prête à raccourcir la durée de validité des certificats et à passer complètement à des solutions automatisées. Les autorités de certification elles-mêmes peuvent proposer de tels services, mais de nombreux clients n'ont pas encore mis en œuvre l'automatisation. La réduction du délai à 397 jours est donc reportée pour l’instant. Mais la question reste ouverte.
Google pourrait désormais essayer d’implémenter la norme « de force », comme il l’a fait avec le protocole . De plus, il est également pris en charge par d'autres développeurs : Apple, Microsoft, Mozilla et Opera.
Rappelons que l'automatisation complète est l'un des principes sur lesquels repose le travail du centre de certification à but non lucratif Let's Encrypt. Elle délivre des certificats gratuits à tous, mais la durée de vie maximale d'un certificat est limitée à 90 jours. Les certificats ont une courte durée de vie :
- limiter les dommages causés par les clés compromises et les certificats mal émis, car ils sont utilisés sur une période de temps plus courte ;
- les certificats de courte durée prennent en charge et encouragent l’automatisation, ce qui est absolument nécessaire pour la facilité d’utilisation du HTTPS. Si nous envisageons de migrer l'ensemble du World Wide Web vers HTTPS, nous ne pouvons pas nous attendre à ce que l'administrateur de chaque site existant mette à jour manuellement les certificats. Une fois que l’émission et le renouvellement des certificats seront entièrement automatisés, les durées de vie plus courtes des certificats deviendront plus pratiques.
a montré que 73,7% des personnes interrogées sont « plutôt favorables » à un raccourcissement de la durée de validité des certificats.
Quant au masquage de l'icône EV pour les certificats SSL dans la barre d'adresse, le consortium n'a pas voté sur cette question, car la question de l'interface utilisateur du navigateur relève entièrement de la compétence des développeurs. En septembre-octobre, de nouvelles versions de Chrome 77 et Firefox 70 seront publiées, ce qui privera les certificats EV d'une place particulière dans la barre d'adresse du navigateur. Voici à quoi ressemble le changement en prenant comme exemple la version de bureau de Firefox 70 :
C'était:
Ce sera:
Selon l'expert en sécurité Troy Hunt, la suppression des informations EV de la barre d'adresse des navigateurs .
Source: habr.com