26 年 2019 月 XNUMX 日 Google SSL/TLSサーバー証明書の最長有効期間を現行の825日から397日(約13か月)と約半分に短縮します。 Google は、証明書を使用したアクションを完全に自動化することによってのみ、人的要因に起因することが多い現在のセキュリティ問題を解決できると考えています。したがって、理想的には、有効期間の短い証明書の自動発行に努めるべきです。
この問題は、最大有効期間を含む SSL/TLS 証明書の要件を設定する CA/ブラウザ フォーラム (CABF) で投票にかけられました。
そして10月XNUMX日 : コンソーシアムメンバーの投票 против 提案。
結果
証明書発行者の投票
賛成 (11 票): Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo (旧 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反対 (20): Camerfirma、Certum (Asseco)、CFCA、中華電信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firma professional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCA、TrustCor、SecureTrust (旧)トラストウェーブ)
棄権 (2): HARICA、タークトラスト
証明書消費者の投票
(7)について: アップル、シスコ、グーグル、マイクロソフト、モジラ、オペラ、360
Против:007
棄権:007
CA/ブラウザ フォーラムの規則によれば、証明書は証明書発行者の 50 分の XNUMX、および消費者の XNUMX% に XNUMX 票を加えたものによって承認される必要があります。
デジサートの代表者 証明書の有効期間を短縮することに賛成票を投じるはずだった投票を省略したことに対して。彼らは、一部の顧客にとっては期間が短いことが問題になるかもしれないが、長期的なセキュリティ上の利点があると指摘しています。
いずれにせよ、業界は証明書の有効期間を短縮し、自動化されたソリューションに完全に切り替える準備がまだ整っていません。認証局自体がそのようなサービスを提供できますが、多くのクライアントはまだ自動化を実装していません。このため、期限を397日に短縮することは当面延期される。しかし、疑問は未解決のままだ。
今後、Googleはプロトコルの場合と同様に、標準を「強制的に」実装しようとするかもしれません 。さらに、Apple、Microsoft、Mozilla、Opera などの他の開発者によってもサポートされています。
完全自動化は非営利認証センター Let’s Encrypt の活動の基礎となる原則の 90 つであることを思い出してください。無料の証明書をすべての人に発行しますが、証明書の最大有効期間は XNUMX 日に制限されています。証明書の有効期間は短い :
- キーの漏洩や誤って発行された証明書は短期間で使用されるため、それらによる被害を制限します。
- 有効期間の短い証明書は自動化をサポートし、促進します。これは HTTPS を使いやすくするために絶対に必要です。 World Wide Web 全体を HTTPS に移行する場合、既存の各サイトの管理者が証明書を手動で更新することは期待できません。証明書の発行と更新が完全に自動化されると、証明書の有効期間が短縮され、より便利かつ実用的になります。
回答者の 73,7% が証明書の有効期間短縮を「どちらかというと支持」していることがわかりました。
アドレス バーで SSL 証明書の EV アイコンを非表示にすることに関しては、ブラウザ UI の問題は完全に開発者の権限内にあるため、コンソーシアムはこの問題について投票しませんでした。 77 月から 70 月にかけて、Chrome 70 と Firefox XNUMX の新バージョンがリリースされ、ブラウザのアドレス バーにおける EV 証明書の特別な場所が奪われます。デスクトップ版 Firefox XNUMX を例として使用すると、変更はどのようになりますか:
それは次のとおりです。
意思:
セキュリティ専門家のトロイ・ハント氏によると、ブラウザのアドレスバーからEV情報を削除 .
出所: habr.com