26 de julho de 2019 Google reduzir o prazo máximo de validade dos certificados de servidores SSL/TLS dos atuais 825 dias para 397 dias (cerca de 13 meses), ou seja, aproximadamente pela metade. O Google acredita que somente a automação completa das ações com certificados eliminará os atuais problemas de segurança, que muitas vezes são atribuídos a fatores humanos. Portanto, idealmente, deve-se buscar a emissão automatizada de certificados de curta duração.
A questão foi colocada em votação no CA/Browser Forum (CABF), que estabelece requisitos para certificados SSL/TLS, incluindo o período máximo de validade.
E então 10 de setembro : membros do consórcio votaram против ofertas.
Descobertas
Votação do Emissor de Certificado
Para (11 votos): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contra (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (antigo Onda de confiança)
Abstenção (2): HARICA, TurkTrust
Votação dos consumidores do certificado
Para (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Против 0
Abstido 0
De acordo com as regras do CA/Browser Forum, um certificado deve ser aprovado por dois terços dos emissores de certificados e 50% mais um voto entre os consumidores.
Representantes da Digicert por pular a votação, onde teriam votado a favor da redução do prazo de validade dos certificados. Eles observam que, para alguns clientes, a duração mais curta pode ser um problema, mas há benefícios de segurança a longo prazo.
De uma forma ou de outra, a indústria ainda não está preparada para reduzir o período de validade dos certificados e mudar completamente para soluções automatizadas. As próprias autoridades certificadoras podem oferecer esses serviços, mas muitos clientes ainda não implementaram a automação. Portanto, fica adiada por enquanto a redução do prazo para 397 dias. Mas a questão permanece em aberto.
Agora o Google pode tentar implementar o padrão “à força”, como fez com o protocolo . Além disso, também é apoiado por outros desenvolvedores: Apple, Microsoft, Mozilla e Opera.
Lembremos que a automação total é um dos princípios em que se baseia o trabalho do centro de certificação sem fins lucrativos Let’s Encrypt. Emite certificados gratuitos para todos, mas a vida útil máxima de um certificado é limitada a 90 dias. Certificados têm vida útil curta :
- limitar os danos causados por chaves comprometidas e certificados emitidos incorretamente, uma vez que são utilizados durante um período de tempo mais curto;
- certificados de curta duração apoiam e incentivam a automação, o que é absolutamente necessário para a facilidade de uso de HTTPS. Se quisermos migrar toda a World Wide Web para HTTPS, não podemos esperar que o administrador de cada site existente atualize manualmente os certificados. Quando a emissão e as renovações de certificados se tornarem totalmente automatizadas, a vida útil mais curta dos certificados se tornará mais conveniente e prática.
mostrou que 73,7% dos entrevistados “apoiam bastante” a redução do período de validade dos certificados.
Quanto a ocultar o ícone EV para certificados SSL na barra de endereço, o consórcio não votou nesta questão, pois a questão da UI do navegador é inteiramente da competência dos desenvolvedores. Em setembro-outubro, serão lançadas novas versões do Chrome 77 e Firefox 70, o que privará os certificados EV de um lugar especial na barra de endereço do navegador. Esta é a aparência da mudança usando a versão desktop do Firefox 70 como exemplo:
Foi:
Será:
De acordo com o especialista em segurança Troy Hunt, remover informações de EV da barra de endereços dos navegadores .
Fonte: habr.com