26. július 2019. Google csökkentse az SSL/TLS szervertanúsítványok maximális érvényességi idejét a jelenlegi 825 napról 397 napra (körülbelül 13 hónapra), azaz körülbelül a felére. A Google úgy véli, hogy csak a tanúsítványokkal végzett műveletek teljes automatizálásával lehet megszabadulni a jelenlegi biztonsági problémáktól, amelyeket gyakran emberi tényezőknek tulajdonítanak. Ezért ideális esetben törekedni kell a rövid élettartamú tanúsítványok automatizált kibocsátására.
A kérdést szavazásra bocsátották a CA/Browser Forumban (CABF), amely meghatározza az SSL/TLS-tanúsítványok követelményeit, beleértve a maximális érvényességi időt is.
Aztán szeptember 10 : konzorciumi tagok szavaztak против ajánlatok.
Álláspontja
Tanúsítványkibocsátó szavazás
Mert (11 szavazat): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (korábban Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
ellen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Hálózati megoldások, OATI, SECOM, SwissSign, TWCA, TrustTrustCor, Secure Trustwave)
Tartózkodott (2): HARICA, TurkTrust
Tanúsítvány fogyasztók szavaznak
(7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Ellen: 0
Tartózkodott: 0
A CA/Browser Forum szabályai szerint a tanúsítványt a tanúsítványkibocsátók kétharmadának és a fogyasztók 50%-ának plusz egy szavazatának kell jóváhagynia.
A Digicert képviselői a szavazás kihagyásáért, ahol az igazolások érvényességi idejének csökkentése mellett szavaztak volna. Megjegyzik, hogy egyes ügyfelek számára a rövidebb időtartam problémát jelenthet, de vannak hosszú távú biztonsági előnyök.
Így vagy úgy, de az iparág még nem áll készen arra, hogy lerövidítse a tanúsítványok érvényességi idejét és teljesen átálljon az automatizált megoldásokra. A tanúsító hatóságok maguk is kínálhatnak ilyen szolgáltatásokat, de sok ügyfél még nem valósította meg az automatizálást. Ezért a határidő 397 napra csökkentését egyelőre elhalasztják. De a kérdés nyitott marad.
A Google most megpróbálhatja „erőszakkal” bevezetni a szabványt, ahogy a protokoll esetében tette . Sőt, más fejlesztők is támogatják: Apple, Microsoft, Mozilla és Opera.
Ne felejtsük el, hogy a teljes automatizálás az egyik alapelv, amelyen a Let’s Encrypt non-profit tanúsító központ munkája alapul. Mindenki számára ingyenes tanúsítványt ad ki, de a tanúsítvány maximális élettartama 90 nap. A tanúsítványok élettartama rövid :
- a feltört kulcsok és a helytelenül kiállított tanúsítványok által okozott károk korlátozása, mivel azokat rövidebb ideig használják;
- a rövid élettartamú tanúsítványok támogatják és ösztönzik az automatizálást, ami feltétlenül szükséges a HTTPS egyszerű használatához. Ha a teljes világhálót HTTPS-re kívánjuk migrálni, akkor nem várhatjuk el minden meglévő webhely rendszergazdájától, hogy manuálisan frissítse a tanúsítványokat. Amint a tanúsítványok kiadása és megújítása teljesen automatizálttá válik, a tanúsítványok rövidebb élettartama kényelmesebbé és praktikusabbá válik.
kimutatta, hogy a válaszadók 73,7%-a „inkább támogatja” a tanúsítványok érvényességi idejének lerövidítését.
Ami az SSL-tanúsítványok EV ikonjának címsorba való elrejtését illeti, a konzorcium nem szavazott erről, mert a böngésző felhasználói felületének kérdése teljes mértékben a fejlesztők hatáskörébe tartozik. Szeptember-októberben megjelennek a Chrome 77 és a Firefox 70 új verziói, amelyek megfosztják az EV-tanúsítványoktól a speciális helyet a böngésző címsorában. Így néz ki a változás a Firefox 70 asztali verzióját használva példaként:
Ez volt:
Lesz:
Troy Hunt biztonsági szakértő szerint az elektromos járművek információinak eltávolítása a böngészők címsorából .
Forrás: will.com