26년 2019월 XNUMX일 구글 제안을했다 SSL/TLS 서버 인증서의 최대 유효 기간을 현재 825일에서 397일(약 13개월)로, 즉 약 절반으로 줄입니다. Google은 인증서를 사용한 작업의 완전한 자동화만이 인적 요소로 인해 발생하는 현재의 보안 문제를 해결할 수 있다고 믿습니다. 따라서 이상적으로는 단기 인증서의 자동화된 발급을 위해 노력해야 합니다.

이 문제는 최대 유효 기간을 포함하여 SSL/TLS 인증서에 대한 요구 사항을 설정하는 CA/브라우저 포럼(CABF)에서 투표에 회부되었습니다.

그리고 10월 XNUMX일 결과 발표: 컨소시엄 회원이 투표했습니다. против 제안.

조사 결과

인증서 발급자 투표

찬성 (11표): Amazon, Buypass, Certigna(DHIMYOTIS), certSIGN, Sectigo(이전 Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

반대 (20): Camerfirma, Certum(Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust(전) 트러스트웨이브)

기권 (2): HARICA, 터크트러스트

인증서 소비자 투표

(7)의 경우: 애플, 시스코, 구글, 마이크로소프트, 모질라, 오페라, 360

에 대하여: 0

기권: 0

CA/브라우저 포럼 규칙에 따르면 인증서는 인증서 발급자의 50/XNUMX와 소비자 중 XNUMX% + XNUMX표의 승인을 받아야 합니다.

Digicert 대표 사과했다 투표를 건너뛰면 인증서의 유효 기간을 줄이는 데 찬성표를 던지게 됩니다. 일부 고객의 경우 기간이 짧아 문제가 될 수 있지만 장기적인 보안 이점이 있다는 점에 주목합니다.

어떤 식으로든 업계에서는 아직 인증서 유효 기간을 단축하고 자동화된 솔루션으로 완전히 전환할 준비가 되어 있지 않습니다. 인증 기관 자체에서 이러한 서비스를 제공할 수 있지만 많은 클라이언트가 아직 자동화를 구현하지 않았습니다. 따라서 기한을 397일로 단축하는 것이 일단 연기되었습니다. 그러나 질문은 여전히 ​​열려 있습니다.

이제 Google은 프로토콜에서 그랬던 것처럼 "강제적으로" 표준을 구현하려고 시도할 수 있습니다. 인증서 투명성. 또한 Apple, Microsoft, Mozilla 및 Opera와 같은 다른 개발자에서도 지원됩니다.

완전 자동화는 비영리 인증 센터 Let's Encrypt의 작업 기반이 되는 원칙 중 하나라는 점을 상기해 보겠습니다. 모든 사람에게 무료 인증서를 발급하지만 인증서의 최대 수명은 90일로 제한됩니다. 인증서의 수명은 짧습니다. 두 가지 주요 장점:

1. 더 짧은 기간 동안 사용되므로 손상된 키와 잘못 발급된 인증서로 인한 피해를 제한합니다.
2. 단기 인증서는 HTTPS 사용의 용이성을 위해 절대적으로 필요한 자동화를 지원하고 장려합니다. 전체 World Wide Web을 HTTPS로 마이그레이션하려는 경우 각 기존 사이트의 관리자가 인증서를 수동으로 업데이트할 것이라고 기대할 수는 없습니다. 인증서 발급 및 갱신이 완전히 자동화되면 인증서 수명이 짧아지고 더욱 편리하고 실용적이게 됩니다.

Habré에 대한 GlobalSign 설문조사 응답자의 73,7%가 증명서 유효기간 단축을 '그렇게 지지한다'고 답했다.

주소 표시줄에 SSL 인증서에 대한 EV 아이콘을 숨기는 것과 관련하여 컨소시엄은 이 문제에 대해 투표하지 않았습니다. 브라우저 UI 문제는 전적으로 개발자의 권한에 속하기 때문입니다. 77~70월에는 Chrome 70 및 Firefox XNUMX의 새 버전이 출시될 예정이며, 이로 인해 브라우저 주소 표시줄에서 EV 인증서의 특별한 위치가 박탈됩니다. Firefox XNUMX의 데스크톱 버전을 예로 들어 변경 사항은 다음과 같습니다.

그것은 :

윌 :

보안 전문가 Troy Hunt에 따르면 브라우저 주소 표시줄에서 EV 정보를 제거합니다. 실제로 이런 유형의 인증서를 묻습니다..

출처 : habr.com