26 korrik 2019 Google zvogëloni periudhën maksimale të vlefshmërisë së certifikatave të serverit SSL/TLS nga 825 ditët aktuale në 397 ditë (rreth 13 muaj), domethënë përafërsisht me gjysmën. Google beson se vetëm automatizimi i plotë i veprimeve me certifikata do të shpëtojë nga problemet aktuale të sigurisë, të cilat shpesh i atribuohen faktorëve njerëzorë. Prandaj, në mënyrë ideale, duhet të përpiqeni për lëshimin e automatizuar të certifikatave jetëshkurtër.
Çështja u hodh në votim në Forumin CA/Browser (CABF), i cili përcakton kërkesat për certifikatat SSL/TLS, duke përfshirë periudhën maksimale të vlefshmërisë.
Dhe më pas 10 shtator : votuan anëtarët e konsorciumit против sugjerime.
Gjetjet
Votimi i lëshuesit të certifikatës
Për (11 vota): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ish Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Kundër (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Zgjidhjet e Rrjetit, OATI, SECOM, SwissSign, TWCATrust, Secure, TWCA, Trustwave)
Abstenoi (2): HARICA, TurkTrust
Certifikata e votimit të konsumatorëve
Për (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
kundër: 0
Abstenoi: 0
Sipas rregullave të Forumit CA/Browser, një certifikatë duhet të miratohet nga dy të tretat e lëshuesve të certifikatave dhe 50% plus një votë midis konsumatorëve.
Përfaqësues të Digicert për anashkalim të votimit, ku do të kishin votuar pro uljes së afatit të vlefshmërisë së certifikatave. Ata vërejnë se për disa klientë, kohëzgjatja më e shkurtër mund të jetë problem, por ka përfitime afatgjata sigurie.
Në një mënyrë apo tjetër, industria nuk është ende e gatshme të shkurtojë periudhën e vlefshmërisë së certifikatave dhe të kalojë plotësisht në zgjidhje të automatizuara. Vetë autoritetet e certifikimit mund të ofrojnë shërbime të tilla, por shumë klientë nuk e kanë zbatuar ende automatizimin. Prandaj, zvogëlimi i afatit në 397 ditë tani për tani është shtyrë. Por pyetja mbetet e hapur.
Tani Google mund të përpiqet të zbatojë standardin "me forcë", siç bëri me protokollin . Për më tepër, ai mbështetet edhe nga zhvillues të tjerë: Apple, Microsoft, Mozilla dhe Opera.
Kujtojmë se automatizimi i plotë është një nga parimet mbi të cilat bazohet puna e qendrës së certifikimit jofitimprurës Let's Encrypt. Ai lëshon certifikata falas për të gjithë, por jetëgjatësia maksimale e një certifikate është e kufizuar në 90 ditë. Certifikatat kanë jetëgjatësi të shkurtër :
- kufizimi i dëmtimit nga çelësat e dëmtuar dhe certifikatat e lëshuara gabimisht, pasi ato përdoren për një periudhë më të shkurtër kohore;
- Certifikatat jetëshkurtër mbështesin dhe inkurajojnë automatizimin, i cili është absolutisht i nevojshëm për lehtësinë e përdorimit të HTTPS. Nëse do të migrojmë të gjithë World Wide Web në HTTPS, atëherë nuk mund të presim që administratori i çdo sajti ekzistues të përditësojë manualisht certifikatat. Sapo lëshimi dhe rinovimi i certifikatës të bëhet plotësisht i automatizuar, jetëgjatësia më e shkurtër e certifikatës do të bëhet më e përshtatshme dhe praktike.
tregoi se 73,7% e të anketuarve “përkundrazi mbështesin” shkurtimin e periudhës së vlefshmërisë së certifikatave.
Sa i përket fshehjes së ikonës EV për certifikatat SSL në shiritin e adresave, konsorciumi nuk votoi për këtë çështje, sepse çështja e ndërfaqes së shfletuesit është tërësisht në kompetencën e zhvilluesve. Në shtator-tetor, do të dalin versionet e reja të Chrome 77 dhe Firefox 70, të cilat do t'i privojnë certifikatat EV një vend të veçantë në shiritin e adresave të shfletuesit. Ja se si duket ndryshimi duke përdorur versionin desktop të Firefox 70 si shembull:
ishte:
do:
Sipas ekspertit të sigurisë Troy Hunt, heqja e informacionit EV nga shiriti i adresave të shfletuesve .
Burimi: www.habr.com