26 lipca 2019 r. Google
Kwestia ta została poddana głosowaniu na forum CA/Browser Forum (CABF), które ustala wymagania dotyczące certyfikatów SSL/TLS, w tym maksymalny okres ważności.
A potem 10 września
wyniki
Głosowanie nad wystawcą certyfikatu
Za (11 głosów): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dawniej Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Przeciw (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dawniej fala zaufania)
Wstrzymało się (2): HARICA, TurkTrust
Certyfikat głosowania konsumentów
Dla (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Przed: 0
Wstrzymało się: 0
Zgodnie z zasadami CA/Browser Forum certyfikat musi zostać zatwierdzony przez dwie trzecie wystawców certyfikatów i 50% plus jeden głos wśród konsumentów.
Przedstawiciele Digicert
Tak czy inaczej, branża nie jest jeszcze gotowa na skrócenie okresu ważności certyfikatów i całkowite przejście na rozwiązania zautomatyzowane. Same urzędy certyfikacji mogą oferować takie usługi, jednak wielu klientów nie wdrożyło jeszcze automatyzacji. W związku z tym skrócenie terminu do 397 dni zostaje na razie odroczone. Ale pytanie pozostaje otwarte.
Teraz Google może spróbować wdrożyć standard „na siłę”, tak jak to miało miejsce w przypadku protokołu
Pamiętajmy, że pełna automatyzacja to jedna z zasad, na których opiera się praca centrum certyfikacji non-profit Let’s Encrypt. Wydaje każdemu bezpłatne certyfikaty, ale maksymalny okres ważności certyfikatu jest ograniczony do 90 dni. Certyfikaty mają krótki okres ważności
- ograniczenie szkód spowodowanych skompromitowanymi kluczami i nieprawidłowo wydanymi certyfikatami, ponieważ są one używane przez krótszy okres czasu;
- certyfikaty krótkotrwałe wspierają i zachęcają do automatyzacji, co jest absolutnie niezbędne dla łatwości korzystania z HTTPS. Jeśli zamierzamy przeprowadzić migrację całej sieci WWW do protokołu HTTPS, nie możemy oczekiwać, że administrator każdej istniejącej witryny będzie ręcznie aktualizował certyfikaty. Gdy wydawanie i odnawianie certyfikatów stanie się w pełni zautomatyzowane, krótsze okresy ważności certyfikatów staną się wygodniejsze i praktyczne.
Jeśli chodzi o ukrywanie ikony EV dla certyfikatów SSL w pasku adresu, konsorcjum nie głosowało w tej sprawie, ponieważ kwestia interfejsu użytkownika przeglądarki leży całkowicie w kompetencji twórców. We wrześniu-październiku ukażą się nowe wersje Chrome 77 i Firefox 70, które pozbawią certyfikaty EV specjalnego miejsca w pasku adresu przeglądarki. Oto jak wygląda zmiana na przykładzie komputerowej wersji przeglądarki Firefox 70:
To było:
Będzie:
Według eksperta ds. bezpieczeństwa Troya Hunta, usunięcie informacji EV z paska adresu przeglądarek
Źródło: www.habr.com