26 m. liepos 2019 d. „Google“. sumažinti maksimalų SSL/TLS serverio sertifikatų galiojimo laikotarpį nuo dabartinių 825 dienų iki 397 dienų (apie 13 mėnesių), tai yra maždaug perpus. „Google“ mano, kad tik visiškas veiksmų automatizavimas su sertifikatais padės atsikratyti dabartinių saugumo problemų, kurios dažnai priskiriamos žmogiškiesiems veiksniams. Todėl idealiu atveju reikėtų siekti automatizuoto trumpalaikių sertifikatų išdavimo.
Dėl šio klausimo buvo balsuojama CA / naršyklės forume (CABF), kuriame nustatomi SSL / TLS sertifikatų reikalavimai, įskaitant maksimalų galiojimo laikotarpį.
Ir tada rugsėjo 10 d : konsorciumo nariai balsavo против siūlymai.
rezultatai
Sertifikato išdavėjo balsavimas
Už (11 balsų): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anksčiau Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Prieš (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure Trustwave)
Susilaikė (2): HARICA, TurkTrust
Sertifikatų vartotojų balsavimas
Už (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Prieš: 0
Susilaikė: 0
Pagal CA/Naršyklės forumo taisykles sertifikatą turi patvirtinti du trečdaliai sertifikatų išdavėjų ir 50 % plius vienas vartotojų balsas.
„Digicert“ atstovai už balsavimo praleidimą, kur būtų balsavę už pažymėjimų galiojimo termino sutrumpinimą. Jie pažymi, kad kai kuriems klientams trumpesnė trukmė gali būti problema, tačiau yra ilgalaikės saugumo naudos.
Vienaip ar kitaip, pramonė dar nepasirengusi trumpinti sertifikatų galiojimo termino ir visiškai pereiti prie automatizuotų sprendimų. Pačios sertifikavimo institucijos gali pasiūlyti tokias paslaugas, tačiau daugelis klientų dar neįdiegę automatizavimo. Todėl termino sutrumpinimas iki 397 dienų kol kas atidedamas. Tačiau klausimas lieka atviras.
Dabar „Google“ gali bandyti įdiegti standartą „prievarta“, kaip tai padarė su protokolu . Be to, jį palaiko ir kiti kūrėjai: Apple, Microsoft, Mozilla ir Opera.
Prisiminkime, kad visiškas automatizavimas yra vienas iš principų, kuriuo remiasi ne pelno siekiančio sertifikavimo centro Let’s Encrypt darbas. Jis visiems išduoda nemokamus sertifikatus, tačiau maksimali sertifikato galiojimo trukmė yra 90 dienų. Sertifikatai galioja trumpai :
- apriboti žalą dėl pažeistų raktų ir neteisingai išduotų sertifikatų, nes jie naudojami per trumpesnį laiką;
- trumpalaikiai sertifikatai palaiko ir skatina automatizavimą, kuris yra būtinas norint patogiai naudoti HTTPS. Jei ketiname perkelti visą žiniatinklį į HTTPS, negalime tikėtis, kad kiekvienos esamos svetainės administratorius neautomatiniu būdu atnaujins sertifikatus. Kai sertifikatų išdavimas ir atnaujinimas bus visiškai automatizuotas, sutrumpės sertifikatų galiojimo laikas taps patogesnis ir praktiškesnis.
parodė, kad 73,7% respondentų „labiau palaiko“ sertifikatų galiojimo termino sutrumpinimą.
Dėl SSL sertifikatų EV piktogramos slėpimo adreso juostoje konsorciumas šiuo klausimu nebalsavo, nes naršyklės vartotojo sąsajos klausimas yra visiškai kūrėjų kompetencija. Rugsėjo-spalio mėnesiais bus išleistos naujos „Chrome 77“ ir „Firefox 70“ versijos, dėl kurių EV sertifikatai neteks specialios vietos naršyklės adreso juostoje. Štai kaip atrodo pakeitimas naudojant „Firefox 70“ darbalaukio versiją kaip pavyzdį:
Tai buvo:
Valia:
Saugumo eksperto Troy Hunt teigimu, EV informacijos pašalinimas iš naršyklių adresų juostos .
Šaltinis: www.habr.com