26 luglio 2019Google ridurre il periodo massimo di validità dei certificati server SSL/TLS dagli attuali 825 giorni a 397 giorni (circa 13 mesi), ovvero di circa la metà. Google ritiene che solo la completa automazione delle azioni con i certificati eliminerà gli attuali problemi di sicurezza, che spesso vengono attribuiti a fattori umani. Pertanto, idealmente, si dovrebbe puntare all’emissione automatizzata di certificati di breve durata.
La questione è stata messa ai voti nel CA/Browser Forum (CABF), che stabilisce i requisiti per i certificati SSL/TLS, compreso il periodo massimo di validità.
E poi il 10 settembre : hanno votato i membri del consorzio contro suggerimenti.
Giudizio
Votazione dell'emittente del certificato
Per (11 voti): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (precedentemente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contro (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ex Trustwave)
Astenuto (2): HARICA, TurkTrust
Voto dei consumatori di certificati
Per (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contro: 0
Astenuto: 0
Secondo le regole del CA/Browser Forum, un certificato deve essere approvato da due terzi degli emittenti e dal 50% più un voto dei consumatori.
Rappresentanti di Digicert per aver saltato la votazione, laddove avrebbero votato a favore della riduzione del periodo di validità dei certificati. Notano che per alcuni clienti la durata più breve può essere un problema, ma ci sono vantaggi in termini di sicurezza a lungo termine.
In un modo o nell'altro, il settore non è ancora pronto ad abbreviare il periodo di validità dei certificati e a passare completamente a soluzioni automatizzate. Le stesse autorità di certificazione possono offrire tali servizi, ma molti clienti non hanno ancora implementato l’automazione. Pertanto, per ora, la riduzione del termine a 397 giorni è rinviata. Ma la questione resta aperta.
Ora Google potrebbe provare a implementare lo standard “forzatamente”, come ha fatto con il protocollo . Inoltre, è supportato anche da altri sviluppatori: Apple, Microsoft, Mozilla e Opera.
Ricordiamo che la completa automazione è uno dei principi su cui si basa il lavoro del centro di certificazione senza scopo di lucro Let's Encrypt. Rilascia certificati gratuiti a tutti, ma la durata massima di un certificato è limitata a 90 giorni. I certificati hanno una durata breve :
- limitare i danni derivanti da chiavi compromesse e certificati erroneamente emessi, poiché utilizzati in un periodo di tempo più breve;
- i certificati di breve durata supportano e incoraggiano l'automazione, che è assolutamente necessaria per la facilità d'uso di HTTPS. Se intendiamo migrare l'intero World Wide Web su HTTPS, non possiamo aspettarci che l'amministratore di ciascun sito esistente aggiorni manualmente i certificati. Una volta che l'emissione e i rinnovi dei certificati saranno completamente automatizzati, la durata più breve dei certificati diventerà più comoda e pratica.
ha mostrato che il 73,7% degli intervistati “è piuttosto a favore” di una riduzione del periodo di validità dei certificati.
Per quanto riguarda l'occultamento dell'icona EV per i certificati SSL nella barra degli indirizzi, il consorzio non ha votato su questo tema, perché la questione dell'interfaccia utente del browser è interamente di competenza degli sviluppatori. A settembre-ottobre verranno rilasciate le nuove versioni di Chrome 77 e Firefox 70, che priveranno i certificati EV di un posto speciale nella barra degli indirizzi del browser. Ecco come appare la modifica utilizzando come esempio la versione desktop di Firefox 70:
Era:
Sarà:
Secondo l'esperto di sicurezza Troy Hunt, rimuovere le informazioni sui veicoli elettrici dalla barra degli indirizzi dei browser .
Fonte: habr.com