26 juli 2019 Google
De kwestie werd ter stemming voorgelegd in het CA/Browser Forum (CABF), dat eisen stelt aan SSL/TLS-certificaten, inclusief de maximale geldigheidsduur.
En dan 10 september
Bevindingen
Stemming door certificaatuitgever
Voor (11 stemmen): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (voorheen Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Tegen (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (voormalig Trustwave)
Onthouding (2): HARICA, TurkTrust
Certificaat consumenten stemmen
Voor (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Tegen: 0
Onthielden zich: 0
Volgens de regels van het CA/Browser Forum moet een certificaat worden goedgekeurd door tweederde van de certificaatuitgevers en door 50% plus één stem onder de consumenten.
Vertegenwoordigers van Digicert
Op de een of andere manier is de industrie er nog niet klaar voor om de geldigheidsduur van certificaten te verkorten en volledig over te stappen op geautomatiseerde oplossingen. Certificeringsinstanties kunnen dergelijke diensten zelf aanbieden, maar veel klanten hebben de automatisering nog niet geïmplementeerd. Daarom wordt de verkorting van de deadline naar 397 dagen voorlopig uitgesteld. Maar de vraag blijft open.
Nu kan Google proberen de standaard “geforceerd” te implementeren, zoals zij ook met het protocol heeft gedaan
Laten we niet vergeten dat volledige automatisering een van de principes is waarop het werk van het non-profit certificeringscentrum Let's Encrypt is gebaseerd. Het verstrekt gratis certificaten aan iedereen, maar de maximale levensduur van een certificaat is beperkt tot 90 dagen. Certificaten hebben een korte levensduur
- het beperken van de schade als gevolg van gecompromitteerde sleutels en onjuist uitgegeven certificaten, omdat deze gedurende een kortere periode worden gebruikt;
- kortstondige certificaten ondersteunen en stimuleren automatisering, wat absoluut noodzakelijk is voor het gebruiksgemak van HTTPS. Als we het hele World Wide Web naar HTTPS gaan migreren, kunnen we niet van de beheerder van elke bestaande site verwachten dat hij de certificaten handmatig bijwerkt. Zodra de uitgifte en verlenging van certificaten volledig geautomatiseerd zijn, zullen kortere levensduur van certificaten handiger en praktischer worden.
Wat betreft het verbergen van het EV-pictogram voor SSL-certificaten in de adresbalk heeft het consortium niet over deze kwestie gestemd, omdat de kwestie van de browser-UI volledig binnen de bevoegdheid van de ontwikkelaars valt. In september-oktober verschijnen er nieuwe versies van Chrome 77 en Firefox 70, waardoor EV-certificaten een speciale plaats in de adresbalk van de browser krijgen. Hier ziet u hoe de wijziging eruit ziet met de desktopversie van Firefox 70 als voorbeeld:
Het was:
Zal zijn:
Volgens beveiligingsexpert Troy Hunt wordt EV-informatie uit de adresbalk van browsers verwijderd
Bron: www.habr.com