26 јули 2019 година Google намалете го максималниот период на важност на сертификатите за серверот SSL/TLS од сегашните 825 дена на 397 дена (околу 13 месеци), односно приближно за половина. Google верува дека само целосна автоматизација на акциите со сертификати ќе се ослободи од тековните безбедносни проблеми, кои често се припишуваат на човечки фактори. Затоа, идеално, треба да се стремиме кон автоматско издавање на краткотрајни сертификати.
Прашањето беше ставено на гласање на Форумот CA/Browser (CABF), кој ги поставува барањата за SSL/TLS сертификатите, вклучувајќи го и максималниот период на важност.
А потоа 10 септември : гласаа членовите на конзорциумот против понуди.
Наоди
Гласање на издавачот на сертификат
За (11 гласа): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (порано Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Против (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, мрежни решенија, OATI, SECOM, SwissSign, TWCATrustforme, Trustwave)
Воздржани (2): ХАРИЦА, ТуркТруст
Сертификат гласање на потрошувачите
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Против: 0
Воздржани: 0
Според правилата на Форумот CA/Browser, сертификатот мора да биде одобрен од две третини од издавачите на сертификати и 50% плус еден глас меѓу потрошувачите.
Претставници на Дигисерт за прескокнување на гласањето, при што би гласале за намалување на рокот на важност на уверенијата. Тие забележуваат дека за некои клиенти, пократкото времетраење може да биде проблем, но има долгорочни безбедносни придобивки.
На еден или друг начин, индустријата сè уште не е подготвена да го скрати периодот на важност на сертификатите и целосно да се префрли на автоматизирани решенија. Самите органи за сертификати можат да понудат такви услуги, но многу клиенти сè уште немаат имплементирано автоматизација. Затоа намалувањето на рокот на 397 дена засега се одложува. Но, прашањето останува отворено.
Сега Google може да се обиде да го имплементира стандардот „насилно“, како што направи со протоколот . Покрај тоа, тој е поддржан и од други програмери: Apple, Microsoft, Mozilla и Opera.
Да потсетиме дека целосната автоматизација е еден од принципите на кои се заснова работата на непрофитниот центар за сертификација Let’s Encrypt. Издава бесплатни сертификати за секого, но максималниот животен век на сертификатот е ограничен на 90 дена. Сертификатите имаат краток век на траење :
- ограничување на штетата од компромитирани клучеви и неправилно издадени сертификати, бидејќи тие се користат во пократок временски период;
- краткотрајните сертификати ја поддржуваат и поттикнуваат автоматизацијата, што е апсолутно неопходно за лесно користење на HTTPS. Ако сакаме да ја мигрираме целата светска мрежа на HTTPS, тогаш не можеме да очекуваме администраторот на секоја постоечка локација рачно да ги ажурира сертификатите. Штом издавањето и обновувањето на сертификатите ќе станат целосно автоматизирани, пократкиот век на траење на сертификатот ќе стане поудобен и попрактичен.
покажаа дека 73,7% од испитаниците „повеќе го поддржуваат“ скратувањето на периодот на важност на сертификатите.
Што се однесува до криењето на иконата EV за SSL сертификати во лентата за адреси, конзорциумот не гласаше за ова прашање, бидејќи прашањето за UI на прелистувачот е целосно во надлежност на програмерите. Во септември-октомври ќе бидат објавени новите верзии на Chrome 77 и Firefox 70, со што на EV сертификатите ќе им се одземе посебно место во лентата за адреси на прелистувачот. Еве како изгледа промената користејќи ја десктоп верзијата на Firefox 70 како пример:
Беше:
Ќе:
Според експертот за безбедност Трој Хант, отстранување на информации за EV од лентата за адреси на прелистувачите .
Извор: www.habr.com