26 Juli 2019 Google nyuda wektu validitas maksimum sertifikat server SSL/TLS saka 825 dina saiki dadi 397 dina (udakara 13 sasi), yaiku kira-kira setengah. Google percaya yen mung otomatisasi lengkap kanthi sertifikat bakal nyingkirake masalah keamanan saiki, sing asring disebabake dening faktor manungsa. Mulane, saenipun, siji kudu ngupayakake penerbitan otomatis sertifikat jangka pendek.
Masalah kasebut dipilih ing Forum CA / Browser (CABF), sing nemtokake syarat kanggo sertifikat SSL / TLS, kalebu periode validitas maksimal.
Lan banjur 10 September : anggota konsorsium milih nglawan saran.
Π Π΅Π·ΡΠ»ΡΡΠ°ΡΡ
Voting Penerbit Sertifikat
Kanggo (11 swara): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (formerly Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Nglawan (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (mantan) Trustwave)
abstain (2): HARICA, TurkTrust
Sertifikat konsumen voting
Kanggo (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Marang: 0
abstain: 0
Miturut aturan CA/Browser Forum, sertifikat kudu disetujoni dening rong pertiga penerbit sertifikat lan 50% ditambah siji swara ing antarane konsumen.
Perwakilan saka Digicert kanggo skipping voting, ngendi padha bakal milih ing sih saka ngurangi periode validitas sertifikat. Padha nyathet yen kanggo sawetara pelanggan, durasi sing luwih cendhek bisa dadi masalah, nanging ana keuntungan keamanan jangka panjang.
Siji cara utawa liyane, industri durung siyap kanggo nyepetake wektu validitas sertifikat lan rampung ngalih menyang solusi otomatis. Panguwasa sertifikat dhewe bisa nawakake layanan kasebut, nanging akeh klien sing durung ngetrapake otomatisasi. Mula, pangurangan tenggat wektu dadi 397 dina ditundha nganti saiki. Nanging pitakonan tetep mbukak.
Saiki Google bisa uga nyoba ngleksanakake standar "meksa", kaya sing ditindakake karo protokol kasebut . Kajaba iku, uga didhukung dening pangembang liyane: Apple, Microsoft, Mozilla lan Opera.
Elinga manawa otomatisasi lengkap minangka salah sawijining prinsip sing adhedhasar karya pusat sertifikasi nirlaba Ayo Encrypt. Iki menehi sertifikat gratis kanggo kabeh wong, nanging umur maksimal sertifikat diwatesi nganti 90 dina. Sertifikat duwe umur cendhak :
- matesi karusakan saka tombol kompromi lan sertifikat ditanggepi salah, amarga padha digunakake ing wektu sing luwih cendhek;
- sertifikat short-urip ndhukung lan nyengkuyung otomatisasi, kang pancen perlu kanggo ease saka nggunakake HTTPS. Yen kita arep migrasi kabeh World Wide Web menyang HTTPS, mula kita ora bisa ngarep-arep pangurus saben situs sing wis ana nganyari sertifikat kanthi manual. Sawise penerbitan sertifikat lan nganyari maneh dadi otomatis, umur sertifikat sing luwih cendhek bakal luwih trep lan praktis.
nuduhake yen 73,7% saka responden "luwih ndhukung" shortening periode validitas sertifikat.
Kanggo ndhelikake lambang EV kanggo sertifikat SSL ing bilah alamat, konsorsium ora milih babagan masalah iki, amarga masalah UI browser kabeh ana ing kompetensi para pangembang. Ing September-Oktober, versi anyar Chrome 77 lan Firefox 70 bakal dirilis, sing bakal ngilangi sertifikat EV ing papan khusus ing bilah alamat browser. Mangkene owah-owahan kaya nggunakake versi desktop Firefox 70 minangka conto:
Iku:
Bakal:
Miturut pakar keamanan Troy Hunt, mbusak informasi EV saka baris alamat browser .
Source: www.habr.com