26. julij 2019 Google podal predlog skrajšati najdaljšo veljavnost strežniških certifikatov SSL/TLS s trenutnih 825 dni na 397 dni (približno 13 mesecev), torej približno za polovico. Google verjame, da se bo le popolna avtomatizacija dejanj s certifikati rešila trenutnih varnostnih težav, ki jih pogosto pripisujejo človeškim dejavnikom. Zato bi bilo v idealnem primeru treba težiti k avtomatizirani izdaji kratkotrajnih potrdil.

Zadeva je bila dana na glasovanje v CA/Browser Forum (CABF), ki določa zahteve za potrdila SSL/TLS, vključno z najdaljšim obdobjem veljavnosti.

In potem 10. september objavljeni rezultati: člani konzorcija so glasovali против predlogi.

Ugotovitve

Glasovanje izdajatelja potrdila

Za (11 glasov): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (prej Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Proti (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (prej Trustwave)

Vzdržani (2): HARICA, TurkTrust

Glasovanje potrošnikov potrdila

Za (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Ob: 0

Vzdržan: 0

V skladu s pravili CA/Browser Forum mora potrdilo potrditi dve tretjini izdajateljev potrdil in 50 % plus en glas med potrošniki.

Predstavniki Digicerta opravičil za preskok glasovanja, kjer bi glasovali za skrajšanje veljavnosti certifikatov. Opozarjajo, da je za nekatere stranke lahko krajše trajanje težava, vendar obstajajo dolgoročne varnostne prednosti.

Tako ali drugače industrija še ni pripravljena skrajšati obdobja veljavnosti certifikatov in popolnoma preiti na avtomatizirane rešitve. Certifikacijski organi sami lahko ponudijo tovrstne storitve, vendar veliko strank avtomatizacije še ni implementiralo. Zato je skrajšanje roka na 397 dni za zdaj odloženo. Toda vprašanje ostaja odprto.

Zdaj lahko Google poskusi implementirati standard "na silo", kot je to storil s protokolom Preglednost potrdila. Poleg tega ga podpirajo tudi drugi razvijalci: Apple, Microsoft, Mozilla in Opera.

Naj spomnimo, da je popolna avtomatizacija eno od načel, na katerih temelji delo neprofitnega certifikacijskega centra Let's Encrypt. Vsem izda brezplačna potrdila, vendar je najdaljša življenjska doba potrdila omejena na 90 dni. Certifikati imajo kratko življenjsko dobo dve glavni prednosti:

1. omejitev škode zaradi kompromitiranih ključev in nepravilno izdanih certifikatov, saj se uporabljajo v krajšem časovnem obdobju;
2. kratkotrajni certifikati podpirajo in spodbujajo avtomatizacijo, ki je nujno potrebna za enostavno uporabo HTTPS. Če bomo celoten svetovni splet preselili na HTTPS, potem ne moremo pričakovati, da bo skrbnik vsake obstoječe strani ročno posodobil potrdila. Ko bosta izdaja in obnova potrdil popolnoma avtomatizirana, bodo krajše življenjske dobe potrdile postale bolj priročne in praktične.

Anketa GlobalSign na Habréju je pokazala, da 73,7 % vprašanih »raje podpira« skrajšanje veljavnosti certifikatov.

Kar zadeva skrivanje ikone EV za SSL certifikate v naslovni vrstici, konzorcij o tem vprašanju ni glasoval, ker je vprašanje uporabniškega vmesnika brskalnika v celoti v pristojnosti razvijalcev. Septembra-oktobra bosta izdani novi različici Chrome 77 in Firefox 70, ki bosta potrdilom EV odvzeli posebno mesto v naslovni vrstici brskalnika. Takole je videti sprememba na primeru namizne različice Firefoxa 70:

Bilo je:

Volja:

Po besedah ​​strokovnjaka za varnost Troya Hunta, odstranjevanje informacij EV iz naslovne vrstice brskalnikov dejansko pokoplje to vrsto potrdil.

Vir: www.habr.com