26 жылдың 2019 шілдесі Google SSL/TLS сервер сертификаттарының максималды жарамдылық мерзімін ағымдағы 825 күннен 397 күнге (шамамен 13 айға), яғни шамамен жартысына қысқарту. Google сертификаттармен әрекеттерді толық автоматтандыру ғана адам факторына байланысты қауіпсіздіктің ағымдағы мәселелерінен құтылады деп санайды. Сондықтан, ең дұрысы, қысқа мерзімді сертификаттарды автоматтандырылған шығаруға ұмтылу керек.
Мәселе SSL/TLS сертификаттарына, оның ішінде ең жоғары жарамдылық мерзіміне қойылатын талаптарды белгілейтін CA/Browser Forumында (CABF) дауысқа салынды.
Содан кейін 10 қыркүйек : консорциум мүшелері дауыс берді қарсы ұсыныстар.
нәтижелері
Сертификат берушінің дауыс беруі
(11 дауыс): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (бұрынғы Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Қарсы (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure (Secure) Trustwave)
Қалыс қалды (2): HARICA, TurkTrust
Сертификат тұтынушыларының дауыс беруі
(7) үшін: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Қарсы: 0
Қалыс қалды: 0
CA/Browser Forum ережелеріне сәйкес сертификатты сертификат берушілердің үштен екісі және тұтынушылардың 50% плюс бір дауысы мақұлдауы керек.
Digicert өкілдері дауыс беруді өткізіп жібергені үшін, олар куәліктердің жарамдылық мерзімін қысқартуды жақтап дауыс берген. Олар кейбір тұтынушылар үшін қысқа мерзім қиындық тудыруы мүмкін екенін, бірақ ұзақ мерзімді қауіпсіздік артықшылықтары бар екенін атап өтеді.
Қалай болғанда да, сала сертификаттардың жарамдылық мерзімін қысқартуға және автоматтандырылған шешімдерге толығымен көшуге әлі дайын емес. Сертификаттау органдары мұндай қызметтерді ұсына алады, бірақ көптеген клиенттер әлі автоматтандыруды енгізген жоқ. Сондықтан әзірге мерзімнің 397 күнге дейін қысқаруы кейінге шегерілді. Бірақ мәселе ашық күйінде қалып отыр.
Енді Google хаттамада болғандай стандартты «мәжбүрлеп» енгізуге тырысуы мүмкін . Сонымен қатар, оны басқа әзірлеушілер де қолдайды: Apple, Microsoft, Mozilla және Opera.
Толық автоматтандыру Let's Encrypt коммерциялық емес сертификаттау орталығының жұмысы негізделген принциптердің бірі екенін есте ұстайық. Ол барлығына тегін сертификаттар береді, бірақ сертификаттың максималды қызмет ету мерзімі 90 күнмен шектеледі. Сертификаттардың қызмет ету мерзімі қысқа :
- бұзылған кілттер мен қате берілген сертификаттардың зақымдалуын шектеу, өйткені олар қысқа мерзімде пайдаланылады;
- қысқа мерзімді сертификаттар HTTPS пайдаланудың қарапайымдылығы үшін өте қажет автоматтандыруды қолдайды және ынталандырады. Егер біз бүкіл дүниежүзілік желіні HTTPS жүйесіне көшіретін болсақ, онда әрбір бар сайттың әкімшісі сертификаттарды қолмен жаңартады деп күте алмаймыз. Сертификаттарды беру және жаңарту толық автоматтандырылғаннан кейін, сертификаттың қызмет ету мерзімі қысқарады және ыңғайлы және практикалық болады.
Респонденттердің 73,7%-ы сертификаттардың жарамдылық мерзімін қысқартуды «қолдайтынын» көрсетті.
Мекенжай жолағында SSL сертификаттары үшін EV белгішесін жасыруға келетін болсақ, консорциум бұл мәселе бойынша дауыс бермеді, өйткені браузердің UI мәселесі толығымен әзірлеушілердің құзыретіне жатады. Қыркүйек-қазан айларында Chrome 77 және Firefox 70 жаңа нұсқалары шығады, бұл EV сертификаттарын браузердің мекенжай жолағындағы арнайы орыннан айырады. Мысал ретінде Firefox 70 жұмыс үстелі нұсқасын пайдалану арқылы өзгерту келесідей:
Бұл:
Ерік:
Қауіпсіздік жөніндегі сарапшы Трой Ханттың айтуынша, браузерлердің мекенжай жолағынан EV ақпаратын жою .
Ақпарат көзі: www.habr.com