Forumi CA/B votoi kundër shkurtimit të periudhës së vlefshmërisë së certifikatave SSL në 397 ditë

Më 26 korrik 2019, kompania Google paraqiti një propozim për të reduktuar maksimumin e periudhës së vlefshmërisë së certifikatave SSL/TLS serverike nga 825 ditë aktualisht në 397 ditë (rreth 13 muaj), duke e bërë sa më pak se gjysma. Google beson se vetëm automatizimi i plotë i veprimeve me certifikatat do të eliminojë problemet e tanishme të sigurisë, të cilat shpesh shpjegohen nga faktori njerëzor. Prandaj, është ideale që të synohet dhënia automatike e certifikatave me jetë të shkurtër.

Bëhet fjalë për një votim në organizatën CA/Browser Forum (CABF), e cila vendos kërkesat për certifikatat SSL/TLS, përfshirë maksimumin e periudhës së vlefshmërisë.

Dhe më 10 Shtator u shpallën rezultatet: anëtarët e konsorciumit votuan kundër propozimit.

Rezultatet

Votimi i botuesve të certifikatave

Për (11 vota): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ish Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Kundër (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ish Trustwave)

Abstenuar (2): HARICA, TurkTrust

Votimi i konsumatorëve për certifikatat

Për (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Kundër: 0

Abstenuar: 0

Sipas rregullave të CA/Browser Forum, për të miratuar një vendim pozitiv duhet të votojnë dy të tretat e botuesve të certifikatave dhe 50% plus një votë nga konsumatorët.

Përfaqësuesit e Digicert kërkuan ndjesë për humbjen e votimit, ku do të jepnin votën e tyre për të ulur kohëzgjatjen e certifikatave. Ata theksojnë se për disa klientë, ulja e kohëzgjatjes mund të paraqesë një problem, por në një perspektivë afatgjatë ofron përfitime për sigurinë.

Si dhe të jetë, industria ende nuk është e gatshme të reduktojë kohëzgjatjen e certifikatave dhe të kalojë plotësisht në zgjidhje automatizimi. Vetë qendrat e certifikimit mund të ofrojnë këto shërbime, por shumë klientë ende nuk kanë ndërtuar automatizimin. Prandaj, reduktimi i kohëzgjatjes në 397 ditë tani për tani është një prapambetje. Por çështja mbetet e hapur.

Tani Google mund të përpiqet të implementojë standardin në mënyrë 'detyruese', siç ndodhi me protokollin Transparenca e Certifikatave. Madje, ajo mbështetet edhe nga zhvillues të tjerë: Apple, Microsoft, Mozilla dhe Opera.

Kujtojmë se automatizimi i plotë është një nga parimet mbi të cilat bazohet puna e qendrës jo-fitimprurëse të certifikimit Let’s Encrypt. Ajo jep certifikata falas për të gjithë dëshira, por maksimumi i kohëzgjatjes së certifikatës është e kufizuar në 90 ditë. Koha e shkurtër e jetës së certifikatave ka dy përfitime kryesore:

  1. kufizimi i dëmit nga çelësat e komprometuar dhe certifikatat e lëshuara gabimisht, pasi ato përdoren për një periudhë më të shkurtër kohe;
  2. certifikatat me jetë të shkurtër mbështesin dhe nxisin automatizimin, i cili është plotësisht i nevojshëm për lehtësimin e përdorimit të HTTPS. Nëse duam të migrojmë të gjithë Internetin në HTTPS, nuk mund të presim për azhurnimin manual të certifikatave nga administratori i çdo faqeje ekzistuese. Sa më shpejt që lëshimi dhe azhurnimi i certifikatave të bëhet plotësisht i automatizuar, kohët më të shkurtër të jetesës së certifikatave do të bëhen më të përshtatshme dhe praktike.

Anketa GlobalSign në Habrë tregon se 73,7% e respondentëve "në përgjithësi e mbështesin" shkurtimin e afatit të vlefshmërisë së certifikatave.

Sa i përket fshehjes së ikonës EV për certifikatat SSL në shiritin e adresave, konsorciumi nuk votoi për këtë çështje, sepse çështja e UI të shfletuesve është plotësisht në kompetencën e zhvilluesve. Në Shtator-Tetor do të dalin versione të reja të Chrome 77 dhe Firefox 70, të cilat do t'i heqin certifikatat EV nga vendi i veçantë në shiritin e adresave të shfletuesit. Ja si duket ndryshimi në shembujin e versionit desktop të Firefox 70:

Ishte:

Forumi CA/B votoi kundër shkurtimit të periudhës së vlefshmërisë së certifikatave SSL në 397 ditë

Do të jetë:

Forumi CA/B votoi kundër shkurtimit të periudhës së vlefshmërisë së certifikatave SSL në 397 ditë

Sipas specialistit të sigurisë Troy Hunt, heqja e informacionit EV nga shiriti i adresave të shfletuesve në fakt e varros këtë lloj certifikate.

Burimi: habr.com

Bli një hosting të besueshëm për faqet me mbrojtje DDoS, VPS VDS serverë 🔥 Bli një hosting të besueshëm për faqet me mbrojtje DDoS, VPS VDS serverë | ProHoster