26. srpnja 2019. Google dao prijedlog smanjiti maksimalni rok valjanosti SSL/TLS poslužiteljskih certifikata sa sadašnjih 825 dana na 397 dana (oko 13 mjeseci), odnosno za otprilike polovicu. Google vjeruje da će se samo potpunom automatizacijom radnji s certifikatima riješiti trenutnih sigurnosnih problema koji se često pripisuju ljudskom faktoru. Stoga bi idealno trebalo težiti automatiziranom izdavanju kratkotrajnih certifikata.

Pitanje je stavljeno na glasovanje u CA/Browser Forum (CABF), koji postavlja zahtjeve za SSL/TLS certifikate, uključujući maksimalno razdoblje valjanosti.

A onda 10. rujna objavljeni rezultati: glasali su članovi konzorcija против sugestije.

Nalazi

Glasovanje izdavatelja certifikata

Za (11 glasova): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (bivši Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Protiv (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (bivši Trustwave)

Suzdržan (2): HARICA, TurkTrust

Potvrda glasanja potrošača

za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Protiv: 0

Suzdržan: 0

Prema pravilima CA/Browser Foruma, certifikat moraju odobriti dvije trećine izdavatelja certifikata i 50% plus jedan glas među potrošačima.

Predstavnici Digicerta ispričao se za preskakanje glasovanja, gdje bi glasovali za smanjenje roka važenja svjedodžbi. Napominju da bi za neke korisnike kraće trajanje moglo predstavljati problem, ali postoje dugoročne sigurnosne prednosti.

Na ovaj ili onaj način, industrija još nije spremna skratiti rok valjanosti certifikata i potpuno prijeći na automatizirana rješenja. Certifikacijske kuće same mogu ponuditi takve usluge, ali mnogi klijenti još nisu implementirali automatizaciju. Stoga se smanjenje roka na 397 dana za sada odgađa. Ali pitanje ostaje otvoreno.

Sada bi Google mogao pokušati implementirati standard "prisilno", kao što je učinio s protokolom Transparentnost certifikata. Štoviše, podržavaju ga i drugi programeri: Apple, Microsoft, Mozilla i Opera.

Podsjetimo, potpuna automatizacija jedno je od načela na kojima se temelji rad neprofitnog certifikacijskog centra Let's Encrypt. Izdaje besplatne certifikate svima, ali je maksimalni vijek trajanja certifikata ograničen na 90 dana. Certifikati imaju kratak vijek trajanja dvije glavne prednosti:

1. ograničavanje štete od kompromitiranih ključeva i neispravno izdanih certifikata, budući da se koriste kraće vrijeme;
2. kratkotrajni certifikati podržavaju i potiču automatizaciju, koja je prijeko potrebna za jednostavno korištenje HTTPS-a. Ako namjeravamo migrirati cijeli World Wide Web na HTTPS, onda ne možemo očekivati ​​da administrator svake postojeće stranice ručno ažurira certifikate. Nakon što izdavanje i obnova certifikata postanu potpuno automatizirani, kraći životni vijek certifikata postat će praktičniji i praktičniji.

GlobalSign anketa na Habréu pokazalo je da 73,7% ispitanika “radije podržava” skraćivanje roka valjanosti certifikata.

Što se tiče skrivanja EV ikone za SSL certifikate u adresnoj traci, konzorcij nije glasovao o ovom pitanju, jer je pitanje korisničkog sučelja preglednika u potpunosti u nadležnosti programera. U rujnu i listopadu bit će objavljene nove verzije Chromea 77 i Firefoxa 70, koje će EV certifikatima oduzeti posebno mjesto u adresnoj traci preglednika. Evo kako promjena izgleda na primjeru desktop verzije Firefoxa 70:

Bilo je:

Htjeti:

Prema stručnjaku za sigurnost Troyu Huntu, uklanjanje informacija o EV-u iz adresne trake preglednika zapravo pokopava ovu vrstu certifikata.

Izvor: www.habr.com