26. gada 2019. jūlijs Google samazināt SSL/TLS servera sertifikātu maksimālo derīguma termiņu no pašreizējām 825 dienām līdz 397 dienām (apmēram 13 mēneši), tas ir, aptuveni uz pusi. Google uzskata, ka tikai pilnīga darbību automatizācija ar sertifikātiem atbrīvosies no aktuālajām drošības problēmām, kuras bieži tiek attiecinātas uz cilvēciskajiem faktoriem. Tāpēc ideālā gadījumā būtu jātiecas uz īstermiņa sertifikātu automatizētu izsniegšanu.
Par šo jautājumu tika balsots CA/Browser Forum (CABF), kas nosaka prasības SSL/TLS sertifikātiem, tostarp maksimālo derīguma termiņu.
Un tad 10. septembris : konsorcija dalībnieki balsoja против ieteikumi.
rezultātus
Sertifikāta izdevēja balsošana
Par (11 balsis): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (agrāk Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Pret (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure Trustwave)
Atturējās (2): HARICA, TurkTrust
Sertifikātu patērētāju balsošana
Par (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Pret: 0
Atturējās: 0
Saskaņā ar CA/Browser Forum noteikumiem sertifikāts ir jāapstiprina divām trešdaļām sertifikātu izsniedzēju un 50% plus viena balss starp patērētājiem.
Digicert pārstāvji par balsojuma izlaišanu, kur būtu balsojuši par sertifikātu derīguma termiņa samazināšanu. Viņi atzīmē, ka dažiem klientiem īsāks ilgums var būt problēma, taču pastāv ilgtermiņa drošības priekšrocības.
Tā vai citādi nozare vēl nav gatava saīsināt sertifikātu derīguma termiņu un pilnībā pāriet uz automatizētiem risinājumiem. Sertifikācijas iestādes pašas var piedāvāt šādus pakalpojumus, taču daudzi klienti vēl nav ieviesuši automatizāciju. Līdz ar to termiņa samazināšana līdz 397 dienām pagaidām tiek atlikta. Bet jautājums paliek atklāts.
Tagad Google var mēģināt ieviest standartu “piespiedu kārtā”, kā tas tika darīts ar protokolu . Turklāt to atbalsta arī citi izstrādātāji: Apple, Microsoft, Mozilla un Opera.
Atcerēsimies, ka pilna automatizācija ir viens no principiem, uz kuriem balstās bezpeļņas sertifikācijas centra Let’s Encrypt darbs. Tas ikvienam izsniedz bezmaksas sertifikātus, taču sertifikāta maksimālais kalpošanas laiks ir ierobežots līdz 90 dienām. Sertifikātu darbības laiks ir īss :
- ierobežot bojājumus no uzlauztām atslēgām un nepareizi izsniegtiem sertifikātiem, jo tie tiek izmantoti īsākā laika periodā;
- īslaicīgi sertifikāti atbalsta un veicina automatizāciju, kas ir absolūti nepieciešama ērtai HTTPS lietošanai. Ja mēs gatavojamies migrēt visu globālo tīmekli uz HTTPS, mēs nevaram sagaidīt, ka katras esošās vietnes administrators manuāli atjauninās sertifikātus. Tiklīdz sertifikātu izsniegšana un atjaunošana kļūs pilnībā automatizēta, īsāks sertifikātu darbības laiks kļūs ērtāks un praktiskāks.
liecina, ka 73,7% aptaujāto „drīzāk atbalsta” sertifikātu derīguma termiņa saīsināšanu.
Runājot par EV ikonas slēpšanu SSL sertifikātiem adreses joslā, konsorcijs par šo jautājumu nebalsoja, jo pārlūkprogrammas lietotāja saskarnes jautājums ir pilnībā izstrādātāju kompetencē. Septembrī-oktobrī tiks izlaistas jaunas Chrome 77 un Firefox 70 versijas, kas atņems EV sertifikātiem īpašu vietu pārlūkprogrammas adreses joslā. Lūk, kā izskatās izmaiņas, kā piemēru izmantojot Firefox 70 darbvirsmas versiju:
Bija:
Būs:
Pēc drošības eksperta Troja Hanta teiktā, EV informācijas noņemšana no pārlūkprogrammu adrešu joslas .
Avots: www.habr.com