26 july 2019 Google
De kwestje waard yn stimming brocht yn it CA/Browser Forum (CABF), dat easken stelt foar SSL/TLS-sertifikaten, ynklusyf de maksimale jildigensperioade.
En dan 10 septimber
Resultaten
Sertifikaat útjouwer Stimme
Foar (11 stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (earder Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Tsjin (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (eardere Trustwave)
Unthâld (2): HARICA, TurkTrust
Sertifikaat konsuminten stimmen
Foar (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Tsjinst: 0
Unthâlde: 0
Neffens CA/Browser Forum regels, in sertifikaat moat wurde goedkard troch twa-tredde fan sertifikaat útjouwers en 50% plus ien stim ûnder konsuminten.
Fertsjintwurdigers fan Digicert
Op ien of oare manier is de yndustry noch net ree om de jildigensperioade fan sertifikaten te ferkoartjen en folslein oer te skeakeljen nei automatisearre oplossingen. Sertifikaat-autoriteiten kinne sels sokke tsjinsten oanbiede, mar in protte kliïnten hawwe noch gjin automatisearring ynfierd. Dêrom wurdt de fermindering fan 'e deadline nei 397 dagen foar no útsteld. Mar de fraach bliuwt iepen.
No kin Google besykje de standert "twangmjittich" út te fieren, lykas it die mei it protokol
Lit ús ûnthâlde dat folsleine automatisearring ien fan 'e prinsipes is wêrop it wurk fan it non-profit sertifikaasjesintrum Let's Encrypt is basearre. It jout fergees sertifikaten út oan elkenien, mar de maksimale libbensdoer fan in sertifikaat is beheind ta 90 dagen. Sertifikaten hawwe koarte libbensdagen
- it beheinen fan skea fan kompromittearre kaaien en ferkeard útjûn sertifikaten, om't se wurde brûkt oer in koartere perioade;
- koarte-libben sertifikaten stypje en stimulearje automatisearring, dat is perfoarst nedich foar it gemak fan gebrûk fan HTTPS. As wy it hiele World Wide Web nei HTTPS sille migrearje, dan kinne wy net ferwachtsje dat de behearder fan elke besteande side sertifikaten manuell bywurkje. Sadree't de útjefte en fernijingen fan sertifikaten folslein automatisearre wurde, sille koartere sertifikaatlibben handiger en praktysk wurde.
Wat it ferbergjen fan it EV-ikoan foar SSL-sertifikaten yn 'e adresbalke oanbelanget, stimde it konsortium net oer dit probleem, om't it probleem fan browser UI folslein binnen de kompetinsje fan' e ûntwikkelders is. Yn septimber-oktober wurde nije ferzjes fan Chrome 77 en Firefox 70 frijlitten, dy't EV-sertifikaten fan in spesjaal plak yn 'e adresbalke fan' e browser ûntnimme. Hjir is hoe't de feroaring derút sjocht mei de buroblêdferzje fan Firefox 70 as foarbyld:
wie:
Wil:
Neffens feiligensekspert Troy Hunt, it fuortsmiten fan EV-ynformaasje fan 'e adresbalke fan browsers
Boarne: www.habr.com