26 Julai 2019 Google
Isu itu telah diundi dalam Forum CA/Pelayar (CABF), yang menetapkan keperluan untuk sijil SSL/TLS, termasuk tempoh sah maksimum.
Dan kemudian 10 September
Penemuan
Undian Pengeluar Sijil
Untuk (11 undi): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dahulu Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Terhadap (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (bekas Trustwave)
Berpantang (2): HARICA, TurkTrust
Sijil pengguna mengundi
Untuk (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Terhadap: 0
berpantang: 0
Menurut peraturan CA/Forum Penyemak Imbas, sijil mesti diluluskan oleh dua pertiga daripada pengeluar sijil dan 50% campur satu undi di kalangan pengguna.
Wakil Digicert
Satu cara atau yang lain, industri belum bersedia untuk memendekkan tempoh sah sijil dan beralih sepenuhnya kepada penyelesaian automatik. Pihak berkuasa sijil sendiri boleh menawarkan perkhidmatan sedemikian, tetapi ramai pelanggan masih belum melaksanakan automasi. Oleh itu, pengurangan tarikh akhir kepada 397 hari ditangguhkan buat masa ini. Tetapi persoalannya tetap terbuka.
Kini Google mungkin cuba melaksanakan standard "secara paksa", seperti yang dilakukan dengan protokol
Mari kita ingat bahawa automasi penuh ialah salah satu prinsip yang menjadi asas kepada kerja pusat pensijilan bukan untung Let's Encrypt. Ia mengeluarkan sijil percuma kepada semua orang, tetapi jangka hayat maksimum sijil dihadkan kepada 90 hari. Sijil mempunyai jangka hayat yang singkat
- mengehadkan kerosakan daripada kunci yang terjejas dan sijil yang dikeluarkan secara tidak betul, kerana ia digunakan dalam tempoh yang lebih singkat;
- sijil jangka pendek menyokong dan menggalakkan automasi, yang sememangnya diperlukan untuk kemudahan penggunaan HTTPS. Jika kami akan memindahkan seluruh World Wide Web ke HTTPS, maka kami tidak boleh mengharapkan pentadbir setiap tapak sedia ada untuk mengemas kini sijil secara manual. Sebaik sahaja pengeluaran sijil dan pembaharuan menjadi automatik sepenuhnya, jangka hayat sijil yang lebih pendek akan menjadi lebih mudah dan praktikal.
Bagi menyembunyikan ikon EV untuk sijil SSL dalam bar alamat, konsortium tidak mengundi mengenai isu ini, kerana isu UI penyemak imbas sepenuhnya dalam kecekapan pembangun. Pada bulan September-Oktober, versi baharu Chrome 77 dan Firefox 70 akan dikeluarkan, yang akan melucutkan sijil EV daripada tempat khas dalam bar alamat penyemak imbas. Inilah rupa perubahan menggunakan versi desktop Firefox 70 sebagai contoh:
Adakah:
akan:
Menurut pakar keselamatan Troy Hunt, mengalih keluar maklumat EV daripada bar alamat pelayar
Sumber: www.habr.com