26. Juli 2019 Google reduzéieren déi maximal Validitéit Period vun SSL / TLS Server Certificaten vun den aktuellen 825 Deeg op 397 Deeg (ongeféier 13 Méint), dat ass ongeféier d'Halschent. Google mengt datt nëmmen déi komplett Automatisatioun vun Aktiounen mat Certificaten déi aktuell Sécherheetsproblemer lass ginn, déi dacks u mënschlech Faktoren zougeschriwwe ginn. Dofir, am Idealfall, soll ee fir automatiséiert Emissioun vun kuerz-gelieft Certificaten ustriewen.
D'Thema gouf am CA/Browser Forum (CABF) gestëmmt, deen Ufuerderunge fir SSL/TLS Certificaten stellt, dorënner déi maximal Validitéitsperiod.
An dann den 10. September : Konsortium Memberen gestëmmt géintiwwer bitt.
Resultater
Zertifikat Emittent Voting
Fir (11 Stëmmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (fréier Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Géint (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (fréier Trustwave)
Enthale (2): HARICA, TurkTrust
Zertifikat Konsumenten Vote
Fir (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Dergéint: 0
Enthale: 0
No CA / Browser Forum Regelen, muss e Certificat vun zwee-Drëttel vun Zertifikat Emittenten guttgeheescht ginn an 50% plus ee Vote ënnert Konsumenten.
Vertrieder vun Digicert fir de Vote ze iwwersprangen, wou si fir d'Verréngerung vun der Validitéitsperiod vun den Certificaten gestëmmt hätten. Si bemierken datt fir e puer Clienten déi méi kuerz Dauer e Problem sinn, awer et gi laangfristeg Sécherheetsvirdeeler.
Op eng oder aner Manéier ass d'Industrie nach net prett fir d'Validitéit vun den Zertifikater ze verkierzen a komplett op automatiséiert Léisungen ze wiesselen. Zertifizéierungsautoritéiten selwer kënnen esou Servicer ubidden, awer vill Clienten hunn nach keng Automatisatioun ëmgesat. Dofir gëtt d'Reduktioun vun der Frist op 397 Deeg fir de Moment ausgestallt. Awer d'Fro bleift oppen.
Elo kann Google probéieren de Standard "gezwongen" ëmzesetzen, sou wéi et mam Protokoll gemaach huet . Ausserdeem gëtt et och vun aneren Entwéckler ënnerstëtzt: Apple, Microsoft, Mozilla an Opera.
Loosst eis drun erënneren datt voll Automatiséierung ee vun de Prinzipien ass, op deenen d'Aarbecht vum Net-Gewënn Zertifizéierungszentrum Let's Encrypt baséiert ass. Et gëtt gratis Certificaten fir jiddereen eraus, awer déi maximal Liewensdauer vun engem Certificat ass limitéiert op 90 Deeg. Certificaten hu kuerz Liewensdauer :
- d'Begrenzung vum Schued vu kompromittéierte Schlësselen a falsch erausginn Certificaten, well se iwwer eng méi kuerz Zäit benotzt ginn;
- Kuerzlieweg Certificaten ënnerstëtzen an encouragéieren d'Automatiséierung, wat absolut néideg ass fir d'Benotzungsliicht vu HTTPS. Wa mir de ganze World Wide Web op HTTPS migréieren, da kënne mir den Administrateur vun all existente Site net erwaarden datt Zertifikater manuell aktualiséieren. Wann d'Zertifikatausgabe an d'Erneierung voll automatiséiert ginn, gëtt méi kuerz Zertifikat Liewensdauer méi praktesch a praktesch.
gewisen, datt 73,7% vun de Befroten "liewer ënnerstëtzen" d'Kierzung vun der Validitéit Period vun Certificaten.
Wat d'EV Ikon fir SSL Certificaten an der Adressbar verstoppt, huet de Konsortium net iwwer dëst Thema gestëmmt, well d'Fro vum Browser UI ganz an der Kompetenz vun den Entwéckler ass. Am September-Oktober ginn nei Versioune vu Chrome 77 a Firefox 70 verëffentlecht, déi EV Zertifikater vun enger spezieller Plaz an der Browser Adressbar entzéien. Hei ass wéi d'Ännerung ausgesäit mat der Desktop Versioun vum Firefox 70 als Beispill:
Et war:
Wëllt:
Nom Sécherheetsexpert Troy Hunt, Ewechhuele vun EV Informatioun aus der Adressbar vu Browser .
Source: will.com