26 iulie 2019 Google reduceți perioada maximă de valabilitate a certificatelor de server SSL/TLS de la actualele 825 de zile la 397 de zile (aproximativ 13 luni), adică cu aproximativ jumătate. Google consideră că numai automatizarea completă a acțiunilor cu certificate va scăpa de problemele actuale de securitate, care sunt adesea atribuite factorilor umani. Prin urmare, în mod ideal, ar trebui să depuneți eforturi pentru eliberarea automată a certificatelor de scurtă durată.
Problema a fost supusă la vot în Forumul CA/Browser (CABF), care stabilește cerințele pentru certificatele SSL/TLS, inclusiv perioada maximă de valabilitate.
Și apoi 10 septembrie : membrii consorțiului au votat против sugestii.
Constatări
Votul emitentului de certificat
Pentru (11 voturi): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (fostă Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Împotriva (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (fost Unda de încredere)
Abținut (2): HARICA, TurkTrust
Certificat de vot al consumatorilor
Pentru (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Împotriva: 0
S-a abținut: 0
Conform regulilor CA/Browser Forum, un certificat trebuie să fie aprobat de două treimi dintre emitenții de certificate și 50% plus un vot în rândul consumatorilor.
Reprezentanții Digicert pentru omiterea votului, unde ar fi votat în favoarea reducerii perioadei de valabilitate a certificatelor. Ei observă că pentru unii clienți, durata mai scurtă poate fi o problemă, dar există beneficii de securitate pe termen lung.
Într-un fel sau altul, industria nu este încă pregătită să scurteze perioada de valabilitate a certificatelor și să treacă complet la soluții automatizate. Autoritățile de certificare însele pot oferi astfel de servicii, dar mulți clienți nu au implementat încă automatizarea. Prin urmare, reducerea termenului la 397 de zile este amânată deocamdată. Dar întrebarea rămâne deschisă.
Acum Google ar putea încerca să implementeze standardul „forțat”, așa cum a făcut cu protocolul . Mai mult, este susținut și de alți dezvoltatori: Apple, Microsoft, Mozilla și Opera.
Să ne amintim că automatizarea completă este unul dintre principiile pe care se bazează activitatea centrului de certificare non-profit Let’s Encrypt. Emite certificate gratuite pentru toată lumea, dar durata maximă de viață a unui certificat este limitată la 90 de zile. Certificatele au o durată scurtă de viață :
- limitarea daunelor cauzate de cheile compromise și certificatele emise incorect, deoarece acestea sunt utilizate pe o perioadă mai scurtă de timp;
- certificatele de scurtă durată susțin și încurajează automatizarea, care este absolut necesară pentru ușurința utilizării HTTPS. Dacă vom migra întregul World Wide Web la HTTPS, atunci nu ne putem aștepta ca administratorul fiecărui site existent să actualizeze manual certificatele. Odată ce emiterea și reînnoirea certificatelor devin complet automatizate, durata de viață mai scurtă a certificatelor va deveni mai convenabilă și mai practică.
a arătat că 73,7% dintre respondenți „suțin mai degrabă” scurtarea perioadei de valabilitate a certificatelor.
În ceea ce privește ascunderea pictogramei EV pentru certificatele SSL în bara de adrese, consorțiul nu a votat această problemă, deoarece problema interfeței browserului este în întregime de competența dezvoltatorilor. În septembrie-octombrie, vor fi lansate noi versiuni ale Chrome 77 și Firefox 70, care vor priva certificatele EV de un loc special în bara de adrese a browserului. Iată cum arată schimbarea folosind versiunea pentru desktop a Firefox 70 ca exemplu:
A fost:
Va fi:
Potrivit expertului în securitate Troy Hunt, eliminarea informațiilor EV din bara de adrese a browserelor .
Sursa: www.habr.com