26. juli 2019 Google
Saken ble tatt opp til avstemning i CA/Browser Forum (CABF), som stiller krav til SSL/TLS-sertifikater, inkludert maksimal gyldighetsperiode.
Og så 10. september
Funn
Stemmegivning for sertifikatutsteder
For (11 stemmer): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidligere Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mot (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidligere Trustwave)
Avsto (2): HARICA, TurkTrust
Sertifikat forbrukere stemme
For (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Mot: 0
Avsto: 0
I henhold til CA/Browser Forum-reglene må et sertifikat godkjennes av to tredjedeler av sertifikatutstedere og 50 % pluss én stemme blant forbrukerne.
Representanter for Digicert
På en eller annen måte er bransjen ennå ikke klar til å forkorte sertifikatets gyldighetsperiode og gå helt over til automatiserte løsninger. Sertifiseringsinstanser kan selv tilby slike tjenester, men mange kunder har ennå ikke implementert automatisering. Derfor er reduksjonen av fristen til 397 dager utsatt foreløpig. Men spørsmålet er fortsatt åpent.
Nå kan Google prøve å implementere standarden «med makt», slik den gjorde med protokollen
La oss huske at full automatisering er et av prinsippene som arbeidet til det ideelle sertifiseringssenteret Let's Encrypt er basert på. Den utsteder gratis sertifikater til alle, men maksimal levetid for et sertifikat er begrenset til 90 dager. Sertifikater har kort levetid
- begrense skaden fra kompromitterte nøkler og feil utstedte sertifikater, siden de brukes over en kortere tidsperiode;
- kortvarige sertifikater støtter og oppmuntrer til automatisering, noe som er helt nødvendig for enkel bruk av HTTPS. Hvis vi skal migrere hele World Wide Web til HTTPS, kan vi ikke forvente at administratoren for hvert eksisterende nettsted manuelt oppdaterer sertifikater. Når utstedelse og fornyelse av sertifikater blir helautomatisert, vil kortere sertifikatlevetid bli mer praktisk og praktisk.
Når det gjelder å skjule EV-ikonet for SSL-sertifikater i adressefeltet, stemte ikke konsortiet om dette problemet, fordi spørsmålet om nettlesergrensesnittet er helt innenfor utviklernes kompetanse. I september-oktober kommer nye versjoner av Chrome 77 og Firefox 70, som vil frata EV-sertifikater en spesiell plass i nettleserens adresselinje. Slik ser endringen ut ved å bruke skrivebordsversjonen av Firefox 70 som eksempel:
Det var:
Vil:
Ifølge sikkerhetsekspert Troy Hunt, fjerning av EV-informasjon fra adressefeltet til nettlesere
Kilde: www.habr.com