26. gada 2019. jūlijs Google
Par šo jautājumu tika balsots CA/Browser Forum (CABF), kas nosaka prasības SSL/TLS sertifikātiem, tostarp maksimālo derīguma termiņu.
Un tad 10. septembris
rezultātus
Sertifikāta izdevēja balsošana
Par (11 balsis): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (agrāk Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Pret (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, Secure Trustwave)
Atturējās (2): HARICA, TurkTrust
Sertifikātu patērētāju balsošana
Par (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Pret: 0
Atturējās: 0
Saskaņā ar CA/Browser Forum noteikumiem sertifikāts ir jāapstiprina divām trešdaļām sertifikātu izsniedzēju un 50% plus viena balss starp patērētājiem.
Digicert pārstāvji
Tā vai citādi nozare vēl nav gatava saīsināt sertifikātu derīguma termiņu un pilnībā pāriet uz automatizētiem risinājumiem. Sertifikācijas iestādes pašas var piedāvāt šādus pakalpojumus, taču daudzi klienti vēl nav ieviesuši automatizāciju. Līdz ar to termiņa samazināšana līdz 397 dienām pagaidām tiek atlikta. Bet jautājums paliek atklāts.
Tagad Google var mēģināt ieviest standartu “piespiedu kārtā”, kā tas tika darīts ar protokolu
Atcerēsimies, ka pilna automatizācija ir viens no principiem, uz kuriem balstās bezpeļņas sertifikācijas centra Let’s Encrypt darbs. Tas ikvienam izsniedz bezmaksas sertifikātus, taču sertifikāta maksimālais kalpošanas laiks ir ierobežots līdz 90 dienām. Sertifikātu darbības laiks ir īss
- ierobežot bojājumus no uzlauztām atslēgām un nepareizi izsniegtiem sertifikātiem, jo tie tiek izmantoti īsākā laika periodā;
- īslaicīgi sertifikāti atbalsta un veicina automatizāciju, kas ir absolūti nepieciešama ērtai HTTPS lietošanai. Ja mēs gatavojamies migrēt visu globālo tīmekli uz HTTPS, mēs nevaram sagaidīt, ka katras esošās vietnes administrators manuāli atjauninās sertifikātus. Tiklīdz sertifikātu izsniegšana un atjaunošana kļūs pilnībā automatizēta, īsāks sertifikātu darbības laiks kļūs ērtāks un praktiskāks.
Runājot par EV ikonas slēpšanu SSL sertifikātiem adreses joslā, konsorcijs par šo jautājumu nebalsoja, jo pārlūkprogrammas lietotāja saskarnes jautājums ir pilnībā izstrādātāju kompetencē. Septembrī-oktobrī tiks izlaistas jaunas Chrome 77 un Firefox 70 versijas, kas atņems EV sertifikātiem īpašu vietu pārlūkprogrammas adreses joslā. Lūk, kā izskatās izmaiņas, kā piemēru izmantojot Firefox 70 darbvirsmas versiju:
Bija:
Būs:
Pēc drošības eksperta Troja Hanta teiktā, EV informācijas noņemšana no pārlūkprogrammu adrešu joslas
Avots: www.habr.com