26 Juli 2019 Google mengurangi masa berlaku maksimum sertifikat server SSL/TLS dari saat ini 825 hari menjadi 397 hari (sekitar 13 bulan), yaitu sekitar setengahnya. Google percaya bahwa hanya otomatisasi penuh tindakan dengan sertifikat yang akan menghilangkan masalah keamanan saat ini, yang sering kali disebabkan oleh faktor manusia. Oleh karena itu, idealnya, seseorang harus mengupayakan penerbitan sertifikat berumur pendek secara otomatis.
Masalah ini telah diputuskan dalam Forum CA/Browser (CABF), yang menetapkan persyaratan untuk sertifikat SSL/TLS, termasuk masa berlaku maksimum.
Dan kemudian 10 September : anggota konsorsium memberikan suara ΠΏΡΠΎΡΠΈΠ² penawaran.
Temuan
Pemungutan Suara Penerbit Sertifikat
Untuk (11 suara): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (sebelumnya Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Melawan (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (sebelumnya gelombang kepercayaan)
Abstain (2): HARICA, TurkTrust
Sertifikat pemungutan suara konsumen
Untuk (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Terhadap: 0
Abstain: 0
Menurut peraturan CA/Forum Browser, sertifikat harus disetujui oleh dua pertiga penerbit sertifikat dan 50% ditambah satu suara di antara konsumen.
Perwakilan dari Digicert karena melewatkan pemungutan suara, di mana mereka akan memilih untuk mengurangi masa berlaku sertifikat. Mereka mencatat bahwa bagi beberapa pelanggan, durasi yang lebih pendek mungkin menjadi masalah, namun ada manfaat keamanan jangka panjang.
Dengan satu atau lain cara, industri ini belum siap untuk memperpendek masa berlaku sertifikat dan sepenuhnya beralih ke solusi otomatis. Otoritas sertifikasi sendiri dapat menawarkan layanan tersebut, namun banyak klien yang belum menerapkan otomatisasi. Oleh karena itu, pengurangan batas waktu menjadi 397 hari ditunda untuk saat ini. Namun pertanyaannya tetap terbuka.
Sekarang Google mungkin mencoba menerapkan standar tersebut βsecara paksaβ, seperti yang terjadi pada protokolnya . Selain itu juga didukung oleh pengembang lain: Apple, Microsoft, Mozilla dan Opera.
Ingatlah bahwa otomatisasi penuh adalah salah satu prinsip yang menjadi dasar kerja pusat sertifikasi nirlaba Let's Encrypt. Ini mengeluarkan sertifikat gratis untuk semua orang, tetapi umur maksimum sertifikat dibatasi hingga 90 hari. Sertifikat memiliki masa hidup yang pendek :
- membatasi kerusakan akibat kunci yang disusupi dan sertifikat yang diterbitkan secara tidak benar, karena digunakan dalam jangka waktu yang lebih singkat;
- sertifikat berumur pendek mendukung dan mendorong otomatisasi, yang mutlak diperlukan untuk kemudahan penggunaan HTTPS. Jika kita akan memigrasikan seluruh World Wide Web ke HTTPS, maka kita tidak dapat mengharapkan administrator setiap situs yang ada memperbarui sertifikat secara manual. Setelah penerbitan dan perpanjangan sertifikat menjadi sepenuhnya otomatis, masa pakai sertifikat yang lebih pendek akan menjadi lebih nyaman dan praktis.
menunjukkan bahwa 73,7% responden βlebih mendukungβ memperpendek masa berlaku sertifikat.
Sedangkan untuk menyembunyikan ikon EV untuk sertifikat SSL di bilah alamat, konsorsium tidak memberikan suara mengenai masalah ini, karena masalah UI browser sepenuhnya berada dalam kompetensi pengembang. Pada bulan September-Oktober, versi baru Chrome 77 dan Firefox 70 akan dirilis, yang akan menghilangkan tempat khusus sertifikat EV di bilah alamat browser. Berikut tampilan perubahannya menggunakan contoh Firefox 70 versi desktop:
Dulu:
Akan:
Menurut pakar keamanan Troy Hunt, menghapus informasi EV dari bilah alamat browser .
Sumber: www.habr.com