26 july 2019 Google ferminderje de maksimale jildigens perioade fan SSL / TLS tsjinner sertifikaten fan de hjoeddeiske 825 dagen nei 397 dagen (sawat 13 moannen), dat is, mei likernôch de helte. Google is fan betinken dat allinich folsleine automatisearring fan aksjes mei sertifikaten de hjoeddeistige feiligensproblemen kwytreitsje, dy't faaks wurde taskreaun oan minsklike faktoaren. Dêrom, by útstek, soe men moatte stribje nei automatyske útjefte fan koarte-libben sertifikaten.
De kwestje waard yn stimming brocht yn it CA/Browser Forum (CABF), dat easken stelt foar SSL/TLS-sertifikaten, ynklusyf de maksimale jildigensperioade.
En dan 10 septimber : konsortiumleden stimden tsjin biedt.
Resultaten
Sertifikaat útjouwer Stimme
Foar (11 stimmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (earder Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Tsjin (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (eardere Trustwave)
Unthâld (2): HARICA, TurkTrust
Sertifikaat konsuminten stimmen
Foar (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Tsjinst: 0
Unthâlde: 0
Neffens CA/Browser Forum regels, in sertifikaat moat wurde goedkard troch twa-tredde fan sertifikaat útjouwers en 50% plus ien stim ûnder konsuminten.
Fertsjintwurdigers fan Digicert foar it oerslaan fan 'e stimming, wêr't se stimd hawwe soene foar it ferminderjen fan de jildigensperioade fan 'e sertifikaten. Se merken op dat foar guon klanten de koartere doer in probleem kin wêze, mar d'r binne foardielen foar lange termyn feiligens.
Op ien of oare manier is de yndustry noch net ree om de jildigensperioade fan sertifikaten te ferkoartjen en folslein oer te skeakeljen nei automatisearre oplossingen. Sertifikaat-autoriteiten kinne sels sokke tsjinsten oanbiede, mar in protte kliïnten hawwe noch gjin automatisearring ynfierd. Dêrom wurdt de fermindering fan 'e deadline nei 397 dagen foar no útsteld. Mar de fraach bliuwt iepen.
No kin Google besykje de standert "twangmjittich" út te fieren, lykas it die mei it protokol . Boppedat wurdt it ek stipe troch oare ûntwikkelders: Apple, Microsoft, Mozilla en Opera.
Lit ús ûnthâlde dat folsleine automatisearring ien fan 'e prinsipes is wêrop it wurk fan it non-profit sertifikaasjesintrum Let's Encrypt is basearre. It jout fergees sertifikaten út oan elkenien, mar de maksimale libbensdoer fan in sertifikaat is beheind ta 90 dagen. Sertifikaten hawwe koarte libbensdagen :
- it beheinen fan skea fan kompromittearre kaaien en ferkeard útjûn sertifikaten, om't se wurde brûkt oer in koartere perioade;
- koarte-libben sertifikaten stypje en stimulearje automatisearring, dat is perfoarst nedich foar it gemak fan gebrûk fan HTTPS. As wy it hiele World Wide Web nei HTTPS sille migrearje, dan kinne wy net ferwachtsje dat de behearder fan elke besteande side sertifikaten manuell bywurkje. Sadree't de útjefte en fernijingen fan sertifikaten folslein automatisearre wurde, sille koartere sertifikaatlibben handiger en praktysk wurde.
liet sjen dat 73,7% fan 'e respondinten "leaver stypje" it ferkoartjen fan de jildigensperioade fan sertifikaten.
Wat it ferbergjen fan it EV-ikoan foar SSL-sertifikaten yn 'e adresbalke oanbelanget, stimde it konsortium net oer dit probleem, om't it probleem fan browser UI folslein binnen de kompetinsje fan' e ûntwikkelders is. Yn septimber-oktober wurde nije ferzjes fan Chrome 77 en Firefox 70 frijlitten, dy't EV-sertifikaten fan in spesjaal plak yn 'e adresbalke fan' e browser ûntnimme. Hjir is hoe't de feroaring derút sjocht mei de buroblêdferzje fan Firefox 70 as foarbyld:
wie:
Wil:
Neffens feiligensekspert Troy Hunt, it fuortsmiten fan EV-ynformaasje fan 'e adresbalke fan browsers .
Boarne: www.habr.com