26 iulie 2019 Google
Problema a fost supusă la vot în Forumul CA/Browser (CABF), care stabilește cerințele pentru certificatele SSL/TLS, inclusiv perioada maximă de valabilitate.
Și apoi 10 septembrie
Constatări
Votul emitentului de certificat
Pentru (11 voturi): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (fostă Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Împotriva (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (fost Unda de încredere)
Abținut (2): HARICA, TurkTrust
Certificat de vot al consumatorilor
Pentru (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Împotriva: 0
S-a abținut: 0
Conform regulilor CA/Browser Forum, un certificat trebuie să fie aprobat de două treimi dintre emitenții de certificate și 50% plus un vot în rândul consumatorilor.
Reprezentanții Digicert
Într-un fel sau altul, industria nu este încă pregătită să scurteze perioada de valabilitate a certificatelor și să treacă complet la soluții automatizate. Autoritățile de certificare însele pot oferi astfel de servicii, dar mulți clienți nu au implementat încă automatizarea. Prin urmare, reducerea termenului la 397 de zile este amânată deocamdată. Dar întrebarea rămâne deschisă.
Acum Google ar putea încerca să implementeze standardul „forțat”, așa cum a făcut cu protocolul
Să ne amintim că automatizarea completă este unul dintre principiile pe care se bazează activitatea centrului de certificare non-profit Let’s Encrypt. Emite certificate gratuite pentru toată lumea, dar durata maximă de viață a unui certificat este limitată la 90 de zile. Certificatele au o durată scurtă de viață
- limitarea daunelor cauzate de cheile compromise și certificatele emise incorect, deoarece acestea sunt utilizate pe o perioadă mai scurtă de timp;
- certificatele de scurtă durată susțin și încurajează automatizarea, care este absolut necesară pentru ușurința utilizării HTTPS. Dacă vom migra întregul World Wide Web la HTTPS, atunci nu ne putem aștepta ca administratorul fiecărui site existent să actualizeze manual certificatele. Odată ce emiterea și reînnoirea certificatelor devin complet automatizate, durata de viață mai scurtă a certificatelor va deveni mai convenabilă și mai practică.
În ceea ce privește ascunderea pictogramei EV pentru certificatele SSL în bara de adrese, consorțiul nu a votat această problemă, deoarece problema interfeței browserului este în întregime de competența dezvoltatorilor. În septembrie-octombrie, vor fi lansate noi versiuni ale Chrome 77 și Firefox 70, care vor priva certificatele EV de un loc special în bara de adrese a browserului. Iată cum arată schimbarea folosind versiunea pentru desktop a Firefox 70 ca exemplu:
A fost:
Va fi:
Potrivit expertului în securitate Troy Hunt, eliminarea informațiilor EV din bara de adrese a browserelor
Sursa: www.habr.com