26 Julai 2019 Google mengurangkan tempoh sah maksimum sijil pelayan SSL/TLS daripada 825 hari semasa kepada 397 hari (kira-kira 13 bulan), iaitu, kira-kira separuh. Google percaya bahawa hanya automasi lengkap tindakan dengan sijil akan menyingkirkan masalah keselamatan semasa, yang sering dikaitkan dengan faktor manusia. Oleh itu, sebaik-baiknya, seseorang harus berusaha untuk mengeluarkan sijil jangka pendek secara automatik.
Isu itu telah diundi dalam Forum CA/Pelayar (CABF), yang menetapkan keperluan untuk sijil SSL/TLS, termasuk tempoh sah maksimum.
Dan kemudian 10 September : ahli konsortium mengundi ΠΏΡΠΎΡΠΈΠ² tawaran.
Penemuan
Undian Pengeluar Sijil
Untuk (11 undi): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dahulu Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Terhadap (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (bekas Trustwave)
Berpantang (2): HARICA, TurkTrust
Sijil pengguna mengundi
Untuk (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Terhadap: 0
berpantang: 0
Menurut peraturan CA/Forum Penyemak Imbas, sijil mesti diluluskan oleh dua pertiga daripada pengeluar sijil dan 50% campur satu undi di kalangan pengguna.
Wakil Digicert kerana melangkau undi, di mana mereka akan mengundi memihak kepada mengurangkan tempoh sah sijil. Mereka ambil perhatian bahawa bagi sesetengah pelanggan, tempoh yang lebih pendek mungkin menjadi masalah, tetapi terdapat faedah keselamatan jangka panjang.
Satu cara atau yang lain, industri belum bersedia untuk memendekkan tempoh sah sijil dan beralih sepenuhnya kepada penyelesaian automatik. Pihak berkuasa sijil sendiri boleh menawarkan perkhidmatan sedemikian, tetapi ramai pelanggan masih belum melaksanakan automasi. Oleh itu, pengurangan tarikh akhir kepada 397 hari ditangguhkan buat masa ini. Tetapi persoalannya tetap terbuka.
Kini Google mungkin cuba melaksanakan standard "secara paksa", seperti yang dilakukan dengan protokol . Selain itu, ia turut disokong oleh pembangun lain: Apple, Microsoft, Mozilla dan Opera.
Mari kita ingat bahawa automasi penuh ialah salah satu prinsip yang menjadi asas kepada kerja pusat pensijilan bukan untung Let's Encrypt. Ia mengeluarkan sijil percuma kepada semua orang, tetapi jangka hayat maksimum sijil dihadkan kepada 90 hari. Sijil mempunyai jangka hayat yang singkat :
- mengehadkan kerosakan daripada kunci yang terjejas dan sijil yang dikeluarkan secara tidak betul, kerana ia digunakan dalam tempoh yang lebih singkat;
- sijil jangka pendek menyokong dan menggalakkan automasi, yang sememangnya diperlukan untuk kemudahan penggunaan HTTPS. Jika kami akan memindahkan seluruh World Wide Web ke HTTPS, maka kami tidak boleh mengharapkan pentadbir setiap tapak sedia ada untuk mengemas kini sijil secara manual. Sebaik sahaja pengeluaran sijil dan pembaharuan menjadi automatik sepenuhnya, jangka hayat sijil yang lebih pendek akan menjadi lebih mudah dan praktikal.
menunjukkan bahawa 73,7% responden βagak menyokongβ memendekkan tempoh sah sijil.
Bagi menyembunyikan ikon EV untuk sijil SSL dalam bar alamat, konsortium tidak mengundi mengenai isu ini, kerana isu UI penyemak imbas sepenuhnya dalam kecekapan pembangun. Pada bulan September-Oktober, versi baharu Chrome 77 dan Firefox 70 akan dikeluarkan, yang akan melucutkan sijil EV daripada tempat khas dalam bar alamat penyemak imbas. Inilah rupa perubahan menggunakan versi desktop Firefox 70 sebagai contoh:
Adakah:
akan:
Menurut pakar keselamatan Troy Hunt, mengalih keluar maklumat EV daripada bar alamat pelayar .
Sumber: www.habr.com