26. julij 2019 Google
Zadeva je bila dana na glasovanje v CA/Browser Forum (CABF), ki določa zahteve za potrdila SSL/TLS, vključno z najdaljšim obdobjem veljavnosti.
In potem 10. september
Ugotovitve
Glasovanje izdajatelja potrdila
Za (11 glasov): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (prej Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (prej Trustwave)
Vzdržani (2): HARICA, TurkTrust
Glasovanje potrošnikov potrdila
Za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Ob: 0
Vzdržan: 0
V skladu s pravili CA/Browser Forum mora potrdilo potrditi dve tretjini izdajateljev potrdil in 50 % plus en glas med potrošniki.
Predstavniki Digicerta
Tako ali drugače industrija še ni pripravljena skrajšati obdobja veljavnosti certifikatov in popolnoma preiti na avtomatizirane rešitve. Certifikacijski organi sami lahko ponudijo tovrstne storitve, vendar veliko strank avtomatizacije še ni implementiralo. Zato je skrajšanje roka na 397 dni za zdaj odloženo. Toda vprašanje ostaja odprto.
Zdaj lahko Google poskusi implementirati standard "na silo", kot je to storil s protokolom
Naj spomnimo, da je popolna avtomatizacija eno od načel, na katerih temelji delo neprofitnega certifikacijskega centra Let's Encrypt. Vsem izda brezplačna potrdila, vendar je najdaljša življenjska doba potrdila omejena na 90 dni. Certifikati imajo kratko življenjsko dobo
- omejitev škode zaradi kompromitiranih ključev in nepravilno izdanih certifikatov, saj se uporabljajo v krajšem časovnem obdobju;
- kratkotrajni certifikati podpirajo in spodbujajo avtomatizacijo, ki je nujno potrebna za enostavno uporabo HTTPS. Če bomo celoten svetovni splet preselili na HTTPS, potem ne moremo pričakovati, da bo skrbnik vsake obstoječe strani ročno posodobil potrdila. Ko bosta izdaja in obnova potrdil popolnoma avtomatizirana, bodo krajše življenjske dobe potrdile postale bolj priročne in praktične.
Kar zadeva skrivanje ikone EV za SSL certifikate v naslovni vrstici, konzorcij o tem vprašanju ni glasoval, ker je vprašanje uporabniškega vmesnika brskalnika v celoti v pristojnosti razvijalcev. Septembra-oktobra bosta izdani novi različici Chrome 77 in Firefox 70, ki bosta potrdilom EV odvzeli posebno mesto v naslovni vrstici brskalnika. Takole je videti sprememba na primeru namizne različice Firefoxa 70:
Bilo je:
Volja:
Po besedah strokovnjaka za varnost Troya Hunta, odstranjevanje informacij EV iz naslovne vrstice brskalnikov
Vir: www.habr.com