26 јули 2019 година Google
Прашањето беше ставено на гласање на Форумот CA/Browser (CABF), кој ги поставува барањата за SSL/TLS сертификатите, вклучувајќи го и максималниот период на важност.
А потоа 10 септември
Наоди
Гласање на издавачот на сертификат
За (11 гласа): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (порано Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Против (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, мрежни решенија, OATI, SECOM, SwissSign, TWCATrustforme, Trustwave)
Воздржани (2): ХАРИЦА, ТуркТруст
Сертификат гласање на потрошувачите
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Против: 0
Воздржани: 0
Според правилата на Форумот CA/Browser, сертификатот мора да биде одобрен од две третини од издавачите на сертификати и 50% плус еден глас меѓу потрошувачите.
Претставници на Дигисерт
На еден или друг начин, индустријата сè уште не е подготвена да го скрати периодот на важност на сертификатите и целосно да се префрли на автоматизирани решенија. Самите органи за сертификати можат да понудат такви услуги, но многу клиенти сè уште немаат имплементирано автоматизација. Затоа намалувањето на рокот на 397 дена засега се одложува. Но, прашањето останува отворено.
Сега Google може да се обиде да го имплементира стандардот „насилно“, како што направи со протоколот
Да потсетиме дека целосната автоматизација е еден од принципите на кои се заснова работата на непрофитниот центар за сертификација Let’s Encrypt. Издава бесплатни сертификати за секого, но максималниот животен век на сертификатот е ограничен на 90 дена. Сертификатите имаат краток век на траење
- ограничување на штетата од компромитирани клучеви и неправилно издадени сертификати, бидејќи тие се користат во пократок временски период;
- краткотрајните сертификати ја поддржуваат и поттикнуваат автоматизацијата, што е апсолутно неопходно за лесно користење на HTTPS. Ако сакаме да ја мигрираме целата светска мрежа на HTTPS, тогаш не можеме да очекуваме администраторот на секоја постоечка локација рачно да ги ажурира сертификатите. Штом издавањето и обновувањето на сертификатите ќе станат целосно автоматизирани, пократкиот век на траење на сертификатот ќе стане поудобен и попрактичен.
Што се однесува до криењето на иконата EV за SSL сертификати во лентата за адреси, конзорциумот не гласаше за ова прашање, бидејќи прашањето за UI на прелистувачот е целосно во надлежност на програмерите. Во септември-октомври ќе бидат објавени новите верзии на Chrome 77 и Firefox 70, со што на EV сертификатите ќе им се одземе посебно место во лентата за адреси на прелистувачот. Еве како изгледа промената користејќи ја десктоп верзијата на Firefox 70 како пример:
Беше:
Ќе:
Според експертот за безбедност Трој Хант, отстранување на информации за EV од лентата за адреси на прелистувачите
Извор: www.habr.com