26 juli 2019 Google de maximale geldigheidsduur van SSL/TLS-servercertificaten terugbrengen van de huidige 825 dagen naar 397 dagen (ongeveer 13 maanden), dat wil zeggen met ongeveer de helft. Google is van mening dat alleen volledige automatisering van acties met certificaten de huidige beveiligingsproblemen, die vaak aan menselijke factoren worden toegeschreven, kunnen wegnemen. Idealiter zou men daarom moeten streven naar geautomatiseerde uitgifte van kortlopende certificaten.
De kwestie werd ter stemming voorgelegd in het CA/Browser Forum (CABF), dat eisen stelt aan SSL/TLS-certificaten, inclusief de maximale geldigheidsduur.
En dan 10 september : consortiumleden hebben gestemd против suggesties.
Bevindingen
Stemming door certificaatuitgever
Voor (11 stemmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (voorheen Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Tegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (voormalig Trustwave)
Onthouding (2): HARICA, TurkTrust
Certificaat consumenten stemmen
Voor (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Tegen: 0
Onthielden zich: 0
Volgens de regels van het CA/Browser Forum moet een certificaat worden goedgekeurd door tweederde van de certificaatuitgevers en door 50% plus één stem onder de consumenten.
Vertegenwoordigers van Digicert omdat zij de stemming hadden overgeslagen, terwijl zij vóór een verkorting van de geldigheidsduur van de certificaten zouden hebben gestemd. Ze merken op dat voor sommige klanten de kortere duur een probleem kan zijn, maar dat er op de lange termijn veiligheidsvoordelen zijn.
Op de een of andere manier is de industrie er nog niet klaar voor om de geldigheidsduur van certificaten te verkorten en volledig over te stappen op geautomatiseerde oplossingen. Certificeringsinstanties kunnen dergelijke diensten zelf aanbieden, maar veel klanten hebben de automatisering nog niet geïmplementeerd. Daarom wordt de verkorting van de deadline naar 397 dagen voorlopig uitgesteld. Maar de vraag blijft open.
Nu kan Google proberen de standaard “geforceerd” te implementeren, zoals zij ook met het protocol heeft gedaan . Bovendien wordt het ook ondersteund door andere ontwikkelaars: Apple, Microsoft, Mozilla en Opera.
Laten we niet vergeten dat volledige automatisering een van de principes is waarop het werk van het non-profit certificeringscentrum Let's Encrypt is gebaseerd. Het verstrekt gratis certificaten aan iedereen, maar de maximale levensduur van een certificaat is beperkt tot 90 dagen. Certificaten hebben een korte levensduur :
- het beperken van de schade als gevolg van gecompromitteerde sleutels en onjuist uitgegeven certificaten, omdat deze gedurende een kortere periode worden gebruikt;
- kortstondige certificaten ondersteunen en stimuleren automatisering, wat absoluut noodzakelijk is voor het gebruiksgemak van HTTPS. Als we het hele World Wide Web naar HTTPS gaan migreren, kunnen we niet van de beheerder van elke bestaande site verwachten dat hij de certificaten handmatig bijwerkt. Zodra de uitgifte en verlenging van certificaten volledig geautomatiseerd zijn, zullen kortere levensduur van certificaten handiger en praktischer worden.
bleek dat 73,7% van de respondenten “eerder voorstander” was van het verkorten van de geldigheidsduur van certificaten.
Wat betreft het verbergen van het EV-pictogram voor SSL-certificaten in de adresbalk heeft het consortium niet over deze kwestie gestemd, omdat de kwestie van de browser-UI volledig binnen de bevoegdheid van de ontwikkelaars valt. In september-oktober verschijnen er nieuwe versies van Chrome 77 en Firefox 70, waardoor EV-certificaten een speciale plaats in de adresbalk van de browser krijgen. Hier ziet u hoe de wijziging eruit ziet met de desktopversie van Firefox 70 als voorbeeld:
Het was:
Zal zijn:
Volgens beveiligingsexpert Troy Hunt wordt EV-informatie uit de adresbalk van browsers verwijderd .
Bron: www.habr.com