26. júlí 2019 Google
Málið var borið undir atkvæði á CA/Browser Forum (CABF), sem setur kröfur um SSL/TLS vottorð, þar á meðal hámarks gildistíma.
Og svo 10. september
Niðurstöður
Atkvæðagreiðsla skírteinaútgefanda
Fyrir (11 atkvæði): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (áður Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Á móti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (fyrrum Trustwave)
Sat hjá (2): HARICA, TurkTrust
Vottorð neytenda atkvæðagreiðslu
Fyrir (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Gegn: 0
Sat hjá: 0
Samkvæmt reglum CA/Browser Forum þarf vottorð að vera samþykkt af tveimur þriðju hlutum útgefenda skírteina og 50% plús eitt atkvæði meðal neytenda.
Fulltrúar Digicert
Með einum eða öðrum hætti er iðnaðurinn ekki enn tilbúinn að stytta gildistíma skírteina og skipta algjörlega yfir í sjálfvirkar lausnir. Vottunaryfirvöld geta sjálf boðið slíka þjónustu, en margir viðskiptavinir hafa ekki enn innleitt sjálfvirkni. Því er frestað að stytta frestinn í 397 daga í bili. En spurningin er enn opin.
Nú gæti Google reynt að innleiða staðalinn „af valdi“, eins og það gerði með samskiptareglunum
Við skulum minna á að full sjálfvirkni er ein af meginreglunum sem starf vottunarmiðstöðvarinnar Let's Encrypt byggir á. Það gefur út ókeypis skírteini fyrir alla, en hámarkslíftími skírteinis er takmarkaður við 90 daga. Vottorð hafa stuttan líftíma
- takmarka tjón af völdum lykla og rangt útgefin vottorð, þar sem þau eru notuð á skemmri tíma;
- Skammtímavottorð styðja og hvetja til sjálfvirkni, sem er algjörlega nauðsynleg til að auðvelda notkun HTTPS. Ef við ætlum að flytja allan veraldarvefinn yfir á HTTPS, þá getum við ekki búist við að stjórnandi hverrar síðu sem fyrir er uppfærir vottorð handvirkt. Þegar útgáfa og endurnýjun skírteina verða að fullu sjálfvirk, verður styttri líftími skírteina þægilegri og hagnýtari.
Hvað varðar að fela EV táknið fyrir SSL vottorð á veffangastikunni, þá greiddi hópurinn ekki atkvæði um þetta mál, vegna þess að málefni vafraviðmótsins er algjörlega á valdsviði þróunaraðilanna. Í september-október verða gefnar út nýjar útgáfur af Chrome 77 og Firefox 70 sem munu svipta rafbílaskírteini sérstakan stað á veffangastiku vafrans. Svona lítur breytingin út með því að nota skrifborðsútgáfu Firefox 70 sem dæmi:
Það var:
Mun:
Samkvæmt öryggissérfræðingnum Troy Hunt, að fjarlægja upplýsingar um rafbíla af veffangastiku vafra
Heimild: www.habr.com