Il forum CA/B ha votato contro la riduzione della validità dei certificati SSL a 397 giorni

Il 26 luglio 2019, Google ha presentato una proposta per ridurre la durata massima dei certificati server SSL/TLS dagli attuali 825 giorni a 397 giorni (circa 13 mesi), ovvero quasi la metà. Google ritiene che solo la piena automazione delle operazioni sui certificati possa risolvere i problemi di sicurezza attuali, spesso attribuiti al fattore umano. Pertanto, idealmente, è fondamentale puntare all'emissione automatizzata di certificati a breve termine.

La questione è stata messa ai voti nell'organizzazione CA/Browser Forum (CABF), che stabilisce i requisiti per i certificati SSL/TLS, compresa la durata massima.

E così, il 10 settembre sono stati annunciati i risultati: i membri del consorzio hanno votato contro la proposta.

Risultati

Il voto degli enti emittenti certificati

Pro (11 voti): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ex Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Contro (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ex Trustwave)

Astensione (2): HARICA, TurkTrust

Votazione dei consumatori di certificati

Favore (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Contro: 0

Astensioni: 0

Secondo le regole del CA/Browser Forum, per una decisione positiva devono votare due terzi degli emittenti di certificati e il 50% più uno dei voti tra i consumatori.

I rappresentanti di Digicert hanno chiesto scusa per aver saltato la votazione, in cui avrebbero votato per ridurre la durata dei certificati. Hanno osservato che per alcuni clienti una riduzione della validità potrebbe rappresentare un problema, ma a lungo termine offre vantaggi per la sicurezza.

In ogni caso, l'industria non è ancora pronta a ridurre i termini di validità dei certificati e passare completamente a soluzioni automatizzate. Gli stessi centri di certificazione possono offrire tali servizi, ma molti clienti non hanno ancora implementato l'automazione. Pertanto, la riduzione a 397 giorni è rimandata. Ma la questione rimane aperta.

Ora Google potrebbe provare a implementare standard in modo "forzato", come avvenuto con il protocollo Trasparenza del Certificato. Inoltre, è supportato anche da altri sviluppatori: Apple, Microsoft, Mozilla e Opera.

Ricordiamo che l'automazione completa è uno dei principi su cui si basa il lavoro del centro di certificazione non profit Let’s Encrypt. Questo ente emette certificati gratuiti a chiunque lo richieda, ma la durata massima dei certificati è limitata a 90 giorni. Tempi di vita brevi per i certificati presentano due principali vantaggi:

  1. limitare i danni da chiavi compromesse e certificati emessi erroneamente, poiché sono utilizzati per un tempo più breve;
  2. i certificati a breve termine supportano e incoraggiano l'automazione, che è fondamentale per la facilità d'uso di HTTPS. Se intendiamo migrare tutto il web verso HTTPS, non possiamo certo aspettarci l'aggiornamento manuale dei certificati da parte dell'amministratore di ogni sito web esistente. Non appena l'emissione e l'aggiornamento dei certificati saranno completamente automatizzati, tempi di vita più brevi dei certificati diventeranno invece più pratici e comodi.

Sondaggio di GlobalSign su Habr ha mostrato che il 73,7% degli intervistati "sostiene piuttosto" la riduzione della durata dei certificati.

Per quanto riguarda la rimozione del marchio EV dai certificati SSL nella barra degli indirizzi, il consorzio non ha votato su questo argomento, poiché la questione dell'UI dei browser è completamente di competenza degli sviluppatori. A settembre-ottobre usciranno le nuove versioni di Chrome 77 e Firefox 70, che elimineranno il trattamento privilegiato dei certificati EV nella barra degli indirizzi del browser. Ecco come appare la modifica nell'esempio della versione desktop di Firefox 70:

Era:

Il forum CA/B ha votato contro la riduzione della validità dei certificati SSL a 397 giorni

Sarà:

Il forum CA/B ha votato contro la riduzione della validità dei certificati SSL a 397 giorni

Secondo l'esperto di sicurezza Troy Hunt, la rimozione delle informazioni EV dalla barra degli indirizzi dei browser sembra seppellire questo tipo di certificati.

Fonte: habr.com

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster