Më 26 korrik 2019, kompania Google për të reduktuar maksimumin e periudhës së vlefshmërisë së certifikatave SSL/TLS serverike nga 825 ditë aktualisht në 397 ditë (rreth 13 muaj), duke e bërë sa më pak se gjysma. Google beson se vetëm automatizimi i plotë i veprimeve me certifikatat do të eliminojë problemet e tanishme të sigurisë, të cilat shpesh shpjegohen nga faktori njerëzor. Prandaj, është ideale që të synohet dhënia automatike e certifikatave me jetë të shkurtër.
Bëhet fjalë për një votim në organizatën CA/Browser Forum (CABF), e cila vendos kërkesat për certifikatat SSL/TLS, përfshirë maksimumin e periudhës së vlefshmërisë.
Dhe më 10 Shtator : anëtarët e konsorciumit votuan kundër propozimit.
Rezultatet
Votimi i botuesve të certifikatave
Për (11 vota): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (ish Comodo CA), eMudhra, Kamu SM, Let’s Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Kundër (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (ish Trustwave)
Abstenuar (2): HARICA, TurkTrust
Votimi i konsumatorëve për certifikatat
Për (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Kundër: 0
Abstenuar: 0
Sipas rregullave të CA/Browser Forum, për të miratuar një vendim pozitiv duhet të votojnë dy të tretat e botuesve të certifikatave dhe 50% plus një votë nga konsumatorët.
Përfaqësuesit e Digicert për humbjen e votimit, ku do të jepnin votën e tyre për të ulur kohëzgjatjen e certifikatave. Ata theksojnë se për disa klientë, ulja e kohëzgjatjes mund të paraqesë një problem, por në një perspektivë afatgjatë ofron përfitime për sigurinë.
Si dhe të jetë, industria ende nuk është e gatshme të reduktojë kohëzgjatjen e certifikatave dhe të kalojë plotësisht në zgjidhje automatizimi. Vetë qendrat e certifikimit mund të ofrojnë këto shërbime, por shumë klientë ende nuk kanë ndërtuar automatizimin. Prandaj, reduktimi i kohëzgjatjes në 397 ditë tani për tani është një prapambetje. Por çështja mbetet e hapur.
Tani Google mund të përpiqet të implementojë standardin në mënyrë 'detyruese', siç ndodhi me protokollin . Madje, ajo mbështetet edhe nga zhvillues të tjerë: Apple, Microsoft, Mozilla dhe Opera.
Kujtojmë se automatizimi i plotë është një nga parimet mbi të cilat bazohet puna e qendrës jo-fitimprurëse të certifikimit Let’s Encrypt. Ajo jep certifikata falas për të gjithë dëshira, por maksimumi i kohëzgjatjes së certifikatës është e kufizuar në 90 ditë. Koha e shkurtër e jetës së certifikatave ka :
- kufizimi i dëmit nga çelësat e komprometuar dhe certifikatat e lëshuara gabimisht, pasi ato përdoren për një periudhë më të shkurtër kohe;
- certifikatat me jetë të shkurtër mbështesin dhe nxisin automatizimin, i cili është plotësisht i nevojshëm për lehtësimin e përdorimit të HTTPS. Nëse duam të migrojmë të gjithë Internetin në HTTPS, nuk mund të presim për azhurnimin manual të certifikatave nga administratori i çdo faqeje ekzistuese. Sa më shpejt që lëshimi dhe azhurnimi i certifikatave të bëhet plotësisht i automatizuar, kohët më të shkurtër të jetesës së certifikatave do të bëhen më të përshtatshme dhe praktike.
tregon se 73,7% e respondentëve "në përgjithësi e mbështesin" shkurtimin e afatit të vlefshmërisë së certifikatave.
Sa i përket fshehjes së ikonës EV për certifikatat SSL në shiritin e adresave, konsorciumi nuk votoi për këtë çështje, sepse çështja e UI të shfletuesve është plotësisht në kompetencën e zhvilluesve. Në Shtator-Tetor do të dalin versione të reja të Chrome 77 dhe Firefox 70, të cilat do t'i heqin certifikatat EV nga vendi i veçantë në shiritin e adresave të shfletuesit. Ja si duket ndryshimi në shembujin e versionit desktop të Firefox 70:
Ishte:
![]()
Do të jetë:

Sipas specialistit të sigurisë Troy Hunt, heqja e informacionit EV nga shiriti i adresave të shfletuesve .
Burimi: habr.com
