26. juli 2019 Google kom med et forslag redusere den maksimale gyldighetsperioden for SSL/TLS-serversertifikater fra dagens 825 dager til 397 dager (ca. 13 måneder), det vil si med omtrent halvparten. Google mener at kun full automatisering av handlinger med sertifikater vil bli kvitt de nåværende sikkerhetsproblemene, som ofte tilskrives menneskelige faktorer. Derfor bør man ideelt sett tilstrebe automatisert utstedelse av kortvarige sertifikater.

Saken ble tatt opp til avstemning i CA/Browser Forum (CABF), som stiller krav til SSL/TLS-sertifikater, inkludert maksimal gyldighetsperiode.

Og så 10. september resultater annonsert: konsortiets medlemmer stemte против forslag.

Funn

Stemmegivning for sertifikatutsteder

For (11 stemmer): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidligere Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Mot (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidligere Trustwave)

Avsto (2): HARICA, TurkTrust

Sertifikat forbrukere stemme

For (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Mot: 0

Avsto: 0

I henhold til CA/Browser Forum-reglene må et sertifikat godkjennes av to tredjedeler av sertifikatutstedere og 50 % pluss én stemme blant forbrukerne.

Representanter for Digicert unnskyldte seg for å hoppe over avstemningen, der de ville ha stemt for å redusere sertifikatenes gyldighetsperiode. De bemerker at for noen kunder kan kortere varighet være et problem, men det er langsiktige sikkerhetsfordeler.

På en eller annen måte er bransjen ennå ikke klar til å forkorte sertifikatets gyldighetsperiode og gå helt over til automatiserte løsninger. Sertifiseringsinstanser kan selv tilby slike tjenester, men mange kunder har ennå ikke implementert automatisering. Derfor er reduksjonen av fristen til 397 dager utsatt foreløpig. Men spørsmålet er fortsatt åpent.

Nå kan Google prøve å implementere standarden «med makt», slik den gjorde med protokollen Sertifikatgjennomsiktighet. Dessuten støttes det også av andre utviklere: Apple, Microsoft, Mozilla og Opera.

La oss huske at full automatisering er et av prinsippene som arbeidet til det ideelle sertifiseringssenteret Let's Encrypt er basert på. Den utsteder gratis sertifikater til alle, men maksimal levetid for et sertifikat er begrenset til 90 dager. Sertifikater har kort levetid to hovedfordeler:

1. begrense skaden fra kompromitterte nøkler og feil utstedte sertifikater, siden de brukes over en kortere tidsperiode;
2. kortvarige sertifikater støtter og oppmuntrer til automatisering, noe som er helt nødvendig for enkel bruk av HTTPS. Hvis vi skal migrere hele World Wide Web til HTTPS, kan vi ikke forvente at administratoren for hvert eksisterende nettsted manuelt oppdaterer sertifikater. Når utstedelse og fornyelse av sertifikater blir helautomatisert, vil kortere sertifikatlevetid bli mer praktisk og praktisk.

GlobalSign-undersøkelse om Habré viste at 73,7 % av de spurte «heller støtter» å forkorte sertifikatets gyldighetsperiode.

Når det gjelder å skjule EV-ikonet for SSL-sertifikater i adressefeltet, stemte ikke konsortiet om dette problemet, fordi spørsmålet om nettlesergrensesnittet er helt innenfor utviklernes kompetanse. I september-oktober kommer nye versjoner av Chrome 77 og Firefox 70, som vil frata EV-sertifikater en spesiell plass i nettleserens adresselinje. Slik ser endringen ut ved å bruke skrivebordsversjonen av Firefox 70 som eksempel:

Det var:

Vil:

Ifølge sikkerhetsekspert Troy Hunt, fjerning av EV-informasjon fra adressefeltet til nettlesere begraver faktisk denne typen sertifikater.

Kilde: www.habr.com