26 июля 2019 года компания Google
Вопрос поставили на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия.
И вот 10 сентября
Результаты
प्रमाणपत्र जारीकर्ता मतदान
(११ भोट) को लागि: Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (पहिले कोमोडो CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
विरुद्ध (२०): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, SRUST, Trust ट्रस्टवेभ)
परहेज (२): हरिका, टर्क ट्रस्ट
प्रमाणपत्र उपभोक्ता मतदान
(७) को लागि: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
बिरूद्ध: 0
परहेज: 0
По правилам CA/Browser Forum, для принятия положительного решения за него должны проголосовать две трети издателей сертификатов и 50% плюс один голос среди потребителей.
Представители Digicert
Так или иначе, но индустрия пока не готова сокращать сроки действия сертификатов и полностью переходить на автоматизированные решения. Сами центры сертификации могут предложить такие услуги, но многие клиенты пока не внедрили автоматизацию. Поэтому сокращение сроков до 397 дней пока откладывается. Но вопрос остаётся открытым.
Теперь Google может попробовать внедрить стандарт «принудительно», как это было с протоколом
Напомним, что полная автоматизация — один из принципов на котором основана работа некоммерческого центра сертификации Let’s Encrypt. Он выдаёт бесплатные сертификаты всем желающим, но максимальный срок жизни сертификата ограничен 90 днями. Короткие времена жизни сертификатов имеют
- ограничение ущерба от компрометированных ключей и неверно выпущенных сертификатов, так как они используются на меньшем промежутке времени;
- короткоживущие сертификаты поддерживают и поощряют автоматизацию, которая абсолютно необходима для простоты использования HTTPS. Если мы собираемся мигрировать всю Всемирную паутину на HTTPS, то вовсе нельзя ожидать ручного обновления сертификатов от администратора каждого существующего сайта. Как только выпуск и обновления сертификатов станет полностью автоматизированным, более короткие времена жизни сертификатов наоборот станут более удобными и практичными.
Что касается сокрытия значка EV для SSL-сертификатов в адресное строке, по этому вопросу консорциум не голосовал, потому что вопрос UI браузеров находится полностью в компетенции разработчиков. В сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера. Вот как выглядит изменение на примере десктопной версии Firefox 70:
थियो:
हुनेछ:
По мнению специалиста по безопасности Троя Ханта, удаление информации EV из адресной строки браузеров
स्रोत: www.habr.com