26. јул 2019. Гоогле дао предлог смањити максимални период важења ССЛ/ТЛС серверских сертификата са тренутних 825 дана на 397 дана (око 13 месеци), односно за отприлике половину. Гугл верује да ће само потпуна аутоматизација радњи са сертификатима решити актуелне безбедносне проблеме, који се често приписују људским факторима. Стога, у идеалном случају, треба тежити аутоматизованом издавању краткотрајних сертификата.

Питање је стављено на гласање на ЦА/Бровсер Форуму (ЦАБФ), који поставља захтеве за ССЛ/ТЛС сертификате, укључујући максимални период важења.

А онда 10. септембра објављени резултати: гласали чланови конзорцијума против понуде.

Налази

Гласање издаваоца сертификата

За (11 гласова): Амазон, Буипасс, Цертигна (ДХИМИОТИС), цертСИГН, Сецтиго (раније Цомодо ЦА), еМудхра, Каму СМ, Лет'с Енцрипт, Логиус, ПКИоверхеид, СХЕЦА, ССЛ.цом

Против (20): Цамерфирма, Цертум (Ассецо), ЦФЦА, Цхунгхва Телецом, Цомсигн, Д-ТРУСТ, ДаркМаттер, Ентруст Датацард, Фирмапрофесионал, ГДЦА, ГлобалСигн, ГоДадди, Изенпе, Нетворк Солутионс, ОАТИ, СЕЦОМ, СвиссСигн, ТВЦА, ТрустЦор, СецуреТруст ( Трустваве)

уздржани (2): ХАРИЦА, ТуркТруст

Гласање потрошача сертификата

за (7): Аппле, Цисцо, Гоогле, Мицрософт, Мозилла, Опера, 360

Против: КСНУМКС

Уздржани: КСНУМКС

Према правилима ЦА/Бровсер Форума, сертификат мора да одобри две трећине издаваоца сертификата и 50% плус један глас међу потрошачима.

Представници Дигицерта извинио се за прескакање гласања, где би гласали за смањење рока важења уверења. Напомињу да за неке купце краће трајање може бити проблем, али постоје дугорочне сигурносне предности.

На овај или онај начин, индустрија још није спремна да скрати период важења сертификата и потпуно пређе на аутоматизована решења. Сами ауторитети за сертификацију могу понудити такве услуге, али многи клијенти још нису имплементирали аутоматизацију. Због тога се смањење рока на 397 дана за сада одлаже. Али питање остаје отворено.

Сада Гоогле може покушати да имплементира стандард „присилно“, као што је то урадио са протоколом Транспарентност сертификата. Штавише, подржавају га и други програмери: Аппле, Мицрософт, Мозилла и Опера.

Подсетимо се да је потпуна аутоматизација један од принципа на којима се заснива рад непрофитног сертификационог центра Лет’с Енцрипт. Свима издаје бесплатне сертификате, али максимални век трајања сертификата је ограничен на 90 дана. Сертификати имају кратак век трајања две главне предности:

1. ограничавање штете од компромитованих кључева и погрешно издатих сертификата, јер се користе у краћем временском периоду;
2. краткотрајни сертификати подржавају и подстичу аутоматизацију, што је апсолутно неопходно за једноставно коришћење ХТТПС-а. Ако ћемо да мигрирамо читав светски веб на ХТТПС, онда не можемо очекивати да администратор сваке постојеће локације ручно ажурира сертификате. Када издавање и обнављање сертификата постану потпуно аутоматизовани, краћи животни век сертификата ће постати практичнији и практичнији.

ГлобалСигн анкета на Хабре показало је да 73,7% испитаника „радије подржава“ скраћивање рока важења сертификата.

Што се тиче сакривања ЕВ иконе за ССЛ сертификате у адресној траци, конзорцијум није гласао о овом питању, јер је питање корисничког интерфејса претраживача у потпуности у надлежности програмера. У септембру-октобру ће бити пуштене нове верзије Цхроме-а 77 и Фајерфокса 70, које ће лишити ЕВ сертификате посебног места у адресној траци претраживача. Ево како ова промена изгледа на примеру десктоп верзије Фирефок-а 70:

Било је:

Ће бити:

Према речима стручњака за безбедност Троја Ханта, уклањање информација о ЕВ са адресне траке претраживача заправо сахрањује ову врсту сертификата.

Извор: ввв.хабр.цом