26. júlí 2019 Google minnka hámarksgildistíma SSL/TLS netþjónaskírteina úr núverandi 825 dögum í 397 daga (um 13 mánuði), það er um það bil helming. Google telur að aðeins fullkomin sjálfvirkni aðgerða með vottorðum muni losna við núverandi öryggisvandamál, sem oft eru rakin til mannlegra þátta. Þess vegna ætti helst að stefna að sjálfvirkri útgáfu skammtímavottorðs.
Málið var borið undir atkvæði á CA/Browser Forum (CABF), sem setur kröfur um SSL/TLS vottorð, þar á meðal hámarks gildistíma.
Og svo 10. september : Félagsmenn greiddu atkvæði против tillögur.
Niðurstöður
Atkvæðagreiðsla skírteinaútgefanda
Fyrir (11 atkvæði): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (áður Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Á móti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (fyrrum Trustwave)
Sat hjá (2): HARICA, TurkTrust
Vottorð neytenda atkvæðagreiðslu
Fyrir (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Gegn: 0
Sat hjá: 0
Samkvæmt reglum CA/Browser Forum þarf vottorð að vera samþykkt af tveimur þriðju hlutum útgefenda skírteina og 50% plús eitt atkvæði meðal neytenda.
Fulltrúar Digicert fyrir að sleppa atkvæðagreiðslunni þar sem þeir hefðu greitt atkvæði með styttingu á gildistíma skírteina. Þeir taka fram að fyrir suma viðskiptavini gæti styttri tímalengd verið vandamál, en það eru langtímaöryggisbætur.
Með einum eða öðrum hætti er iðnaðurinn ekki enn tilbúinn að stytta gildistíma skírteina og skipta algjörlega yfir í sjálfvirkar lausnir. Vottunaryfirvöld geta sjálf boðið slíka þjónustu, en margir viðskiptavinir hafa ekki enn innleitt sjálfvirkni. Því er frestað að stytta frestinn í 397 daga í bili. En spurningin er enn opin.
Nú gæti Google reynt að innleiða staðalinn „af valdi“, eins og það gerði með samskiptareglunum . Þar að auki er það einnig stutt af öðrum forriturum: Apple, Microsoft, Mozilla og Opera.
Við skulum minna á að full sjálfvirkni er ein af meginreglunum sem starf vottunarmiðstöðvarinnar Let's Encrypt byggir á. Það gefur út ókeypis skírteini fyrir alla, en hámarkslíftími skírteinis er takmarkaður við 90 daga. Vottorð hafa stuttan líftíma :
- takmarka tjón af völdum lykla og rangt útgefin vottorð, þar sem þau eru notuð á skemmri tíma;
- Skammtímavottorð styðja og hvetja til sjálfvirkni, sem er algjörlega nauðsynleg til að auðvelda notkun HTTPS. Ef við ætlum að flytja allan veraldarvefinn yfir á HTTPS, þá getum við ekki búist við að stjórnandi hverrar síðu sem fyrir er uppfærir vottorð handvirkt. Þegar útgáfa og endurnýjun skírteina verða að fullu sjálfvirk, verður styttri líftími skírteina þægilegri og hagnýtari.
sýndi að 73,7% svarenda „hlynntu frekar“ styttingu gildistíma skírteina.
Hvað varðar að fela EV táknið fyrir SSL vottorð á veffangastikunni, þá greiddi hópurinn ekki atkvæði um þetta mál, vegna þess að málefni vafraviðmótsins er algjörlega á valdsviði þróunaraðilanna. Í september-október verða gefnar út nýjar útgáfur af Chrome 77 og Firefox 70 sem munu svipta rafbílaskírteini sérstakan stað á veffangastiku vafrans. Svona lítur breytingin út með því að nota skrifborðsútgáfu Firefox 70 sem dæmi:
Það var:
Mun:
Samkvæmt öryggissérfræðingnum Troy Hunt, að fjarlægja upplýsingar um rafbíla af veffangastiku vafra .
Heimild: www.habr.com