26 ביולי 2019 Google הציע הצעה להפחית את תקופת התוקף המקסימלית של אישורי שרת SSL/TLS מ-825 הימים הנוכחיים ל-397 ימים (כ-13 חודשים), כלומר בכמחצית. גוגל מאמינה שרק אוטומציה מלאה של פעולות עם תעודות תפטר מבעיות האבטחה הנוכחיות, שמיוחסות לרוב לגורמים אנושיים. לכן, באופן אידיאלי, יש לשאוף להנפקה אוטומטית של תעודות קצרות מועד.

הנושא הובא להצבעה בפורום CA/דפדפן (CABF), הקובע דרישות לתעודות SSL/TLS, כולל תקופת התוקף המקסימלית.

ואז 10 בספטמבר תוצאות שהוכרזו: חברי הקונסורציום הצביעו против הצעות.

ממצאים

הצבעה של מנפיק תעודה

בעד (11 קולות): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (לשעבר Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

נגד (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (לשעבר Trustwave)

נמנע (2): HARICA, TurkTrust

הצבעת צרכני תעודה

עבור (7): אפל, סיסקו, גוגל, מיקרוסופט, מוזילה, אופרה, 360

נגד: 0

נמנע: 0

על פי כללי CA/פורום דפדפן, תעודה חייבת להיות מאושרת על ידי שני שלישים ממנפיקי התעודה ו-50% פלוס קול אחד בקרב הצרכנים.

נציגי Digicert התנצל על דילוג על ההצבעה, שם היו מצביעים בעד קיצור תקופת התוקף של התעודות. הם מציינים שעבור חלק מהלקוחות, משך הזמן הקצר יותר עשוי להוות בעיה, אבל יש יתרונות אבטחה לטווח ארוך.

כך או אחרת, התעשייה עדיין לא מוכנה לקצר את תקופת התוקף של התעודות ולעבור לחלוטין לפתרונות אוטומטיים. רשויות האישורים עצמן יכולות להציע שירותים כאלה, אך לקוחות רבים טרם יישמו אוטומציה. לפיכך, קיצור המועד ל-397 ימים נדחה לעת עתה. אבל השאלה נשארת פתוחה.

כעת גוגל עשויה לנסות ליישם את התקן "בכוח", כפי שעשתה עם הפרוטוקול שקיפות תעודה. יתר על כן, הוא נתמך גם על ידי מפתחים אחרים: אפל, מיקרוסופט, מוזילה ואופרה.

בואו נזכור כי אוטומציה מלאה היא אחד העקרונות שעליהם מבוססת עבודת מרכז ההסמכה ללא מטרות רווח Let's Encrypt. היא מנפיקה תעודות בחינם לכולם, אך תוחלת החיים המקסימלית של תעודה מוגבלת ל-90 יום. לתעודות אורך חיים קצר שני יתרונות עיקריים:

1. הגבלת הנזק ממפתחות שנפגעו ותעודות שהונפקו בצורה שגויה, מאחר שהשימוש בהם נעשה על פני פרק זמן קצר יותר;
2. אישורים קצרי מועד תומכים ומעודדים אוטומציה, שהיא הכרחית לחלוטין לקלות השימוש ב-HTTPS. אם אנחנו מתכוונים להעביר את כל ה-World Wide Web ל-HTTPS, אז לא נוכל לצפות מהמנהל של כל אתר קיים לעדכן אישורים באופן ידני. ברגע שהנפקת וחידושי התעודה הופכים לאוטומטיים לחלוטין, תקופות חיים קצרות יותר של תעודות יהפכו לנוחים ומעשיים יותר.

סקר GlobalSign על Habré הראה כי 73,7% מהנשאלים "דווקא תומכים" בקיצור תקופת התוקף של התעודות.

באשר להסתרת סמל ה-EV עבור תעודות SSL בשורת הכתובת, הקונסורציום לא הצביע בנושא זה, מכיוון שנושא ממשק המשתמש של הדפדפן נמצא לחלוטין בסמכותם של המפתחים. בספטמבר-אוקטובר ישוחררו גרסאות חדשות של Chrome 77 ו-Firefox 70, אשר ישללו מאישורי EV מקום מיוחד בשורת הכתובת של הדפדפן. כך נראה השינוי באמצעות גרסת שולחן העבודה של Firefox 70 כדוגמה:

זה היה:

יהיה:

לדברי מומחה האבטחה טרוי האנט, הסרת מידע EV מסרגל הכתובות של דפדפנים למעשה קובר סוג זה של תעודות.

מקור: www.habr.com