26 lipca 2019 r. Google skrócić maksymalny okres ważności certyfikatów serwerów SSL/TLS z obecnych 825 dni do 397 dni (około 13 miesięcy), czyli o około połowę. Google wierzy, że dopiero pełna automatyzacja działań z certyfikatami pozbędzie się obecnych problemów z bezpieczeństwem, które często przypisuje się czynnikowi ludzkiemu. Dlatego w idealnym przypadku należy dążyć do automatycznego wydawania certyfikatów krótkotrwałych.
Kwestia ta została poddana głosowaniu na forum CA/Browser Forum (CABF), które ustala wymagania dotyczące certyfikatów SSL/TLS, w tym maksymalny okres ważności.
A potem 10 września : członkowie konsorcjum głosowali против sugestie.
wyniki
Głosowanie nad wystawcą certyfikatu
Za (11 głosów): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dawniej Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Przeciw (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dawniej fala zaufania)
Wstrzymało się (2): HARICA, TurkTrust
Certyfikat głosowania konsumentów
Dla (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Przed: 0
Wstrzymało się: 0
Zgodnie z zasadami CA/Browser Forum certyfikat musi zostać zatwierdzony przez dwie trzecie wystawców certyfikatów i 50% plus jeden głos wśród konsumentów.
Przedstawiciele Digicert za pominięcie głosowania, podczas gdy głosowaliby za skróceniem okresu ważności zaświadczeń. Zauważają, że dla niektórych klientów krótszy czas trwania może stanowić problem, ale istnieją długoterminowe korzyści w zakresie bezpieczeństwa.
Tak czy inaczej, branża nie jest jeszcze gotowa na skrócenie okresu ważności certyfikatów i całkowite przejście na rozwiązania zautomatyzowane. Same urzędy certyfikacji mogą oferować takie usługi, jednak wielu klientów nie wdrożyło jeszcze automatyzacji. W związku z tym skrócenie terminu do 397 dni zostaje na razie odroczone. Ale pytanie pozostaje otwarte.
Teraz Google może spróbować wdrożyć standard „na siłę”, tak jak to miało miejsce w przypadku protokołu . Co więcej, jest również obsługiwany przez innych programistów: Apple, Microsoft, Mozilla i Opera.
Pamiętajmy, że pełna automatyzacja to jedna z zasad, na których opiera się praca centrum certyfikacji non-profit Let’s Encrypt. Wydaje każdemu bezpłatne certyfikaty, ale maksymalny okres ważności certyfikatu jest ograniczony do 90 dni. Certyfikaty mają krótki okres ważności :
- ograniczenie szkód spowodowanych skompromitowanymi kluczami i nieprawidłowo wydanymi certyfikatami, ponieważ są one używane przez krótszy okres czasu;
- certyfikaty krótkotrwałe wspierają i zachęcają do automatyzacji, co jest absolutnie niezbędne dla łatwości korzystania z HTTPS. Jeśli zamierzamy przeprowadzić migrację całej sieci WWW do protokołu HTTPS, nie możemy oczekiwać, że administrator każdej istniejącej witryny będzie ręcznie aktualizował certyfikaty. Gdy wydawanie i odnawianie certyfikatów stanie się w pełni zautomatyzowane, krótsze okresy ważności certyfikatów staną się wygodniejsze i praktyczne.
pokazało, że 73,7% respondentów „raczej opowiada się” za skróceniem okresu ważności certyfikatów.
Jeśli chodzi o ukrywanie ikony EV dla certyfikatów SSL w pasku adresu, konsorcjum nie głosowało w tej sprawie, ponieważ kwestia interfejsu użytkownika przeglądarki leży całkowicie w kompetencji twórców. We wrześniu-październiku ukażą się nowe wersje Chrome 77 i Firefox 70, które pozbawią certyfikaty EV specjalnego miejsca w pasku adresu przeglądarki. Oto jak wygląda zmiana na przykładzie komputerowej wersji przeglądarki Firefox 70:
To było:
Będzie:
Według eksperta ds. bezpieczeństwa Troya Hunta, usunięcie informacji EV z paska adresu przeglądarek .
Źródło: www.habr.com