26 Juli 2019 Google ngurangan periode validitas maksimum SSL / sertipikat server TLS ti ayeuna 825 poé ka 397 poé (kira-kira 13 bulan), nyaeta, ku kurang leuwih satengah. Google percaya yén ngan ukur otomatisasi lengkep sareng sertipikat bakal ngaleungitkeun masalah kaamanan ayeuna, anu sering dikaitkeun kana faktor manusa. Ku alatan éta, ideally, hiji kudu narékahan pikeun issuance otomatis tina sertipikat pondok-cicing.
Isu ieu nempatkeun ka sora dina CA / Browser Forum (CABF), nu susunan syarat pikeun sertipikat SSL / TLS, kaasup jaman validitas maksimum.
Lajeng 10 Séptémber : anggota konsorsium milih ngalawan nawaran.
Hasil
Voting Penerbit Sertipikat
Pikeun (11 sora): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (baheulana Comodo CA), eMudhra, Kamu SM, Hayu Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Ngalawan (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (baheula Trustwave)
Dilarang (2): HARICA, TurkTrust
Voting konsumén sertipikat
Pikeun (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Ngalawan: 0
Dipapatahan: 0
Numutkeun aturan CA/Browser Forum, sertipikat kedah disatujuan ku dua per tilu penerbit sertipikat sareng 50% ditambah hiji sora diantara konsumen.
Wawakil Digicert pikeun skipping sora, dimana maranéhna bakal geus milih dina ni'mat ngurangan periode validitas tina sertipikat. Aranjeunna dicatet yén pikeun sababaraha konsumén, durasi pondok bisa jadi masalah, tapi aya kauntungan kaamanan jangka panjang.
Hiji cara atanapi anu sanés, industri éta henteu acan siap pikeun nyepetkeun periode validitas sertipikat sareng lengkep ngalih ka solusi otomatis. Otoritas sertipikat sorangan tiasa nawiskeun jasa sapertos kitu, tapi seueur klien anu henteu acan ngalaksanakeun automation. Ku alatan éta, pangurangan wates waktu ka 397 dinten ditunda kanggo ayeuna. Tapi patarosan tetep kabuka.
Ayeuna Google tiasa nyobian ngalaksanakeun standar "maksa", sapertos anu dilakukeun ku protokol . Leuwih ti éta, éta ogé dirojong ku pamekar séjén: Apple, Microsoft, Mozilla jeung Opera.
Hayu urang émut yén otomatisasi pinuh mangrupikeun salah sahiji prinsip anu dumasar kana padamelan pusat sertifikasi nirlaba Let's Encrypt. Éta ngaluarkeun sertipikat gratis ka sadayana, tapi umur maksimal sertipikat dugi ka 90 dinten. Sertipikat gaduh umur pondok :
- ngawatesan karuksakan tina konci kompromi jeung sertipikat salah dikaluarkeun, sabab dipaké dina jangka waktu nu leuwih pondok;
- sertipikat pondok-cicing ngarojong jeung ajak automation, nu kacida dipikabutuh pikeun betah pamakéan HTTPS. Lamun urang bade migrasi sakabéh World Wide Web ka HTTPS, mangka urang teu bisa ngaharepkeun administrator unggal situs aya pikeun manual ngamutahirkeun sertipikat. Sakali penerbitan sertipikat sareng pembaharuan janten otomatis pinuh, umur sertipikat anu langkung pondok bakal langkung merenah sareng praktis.
némbongkeun yén 73,7% responden "rada ngarojong" pondok periode validitas sertipikat.
Sedengkeun pikeun nyumputkeun ikon EV pikeun sertipikat SSL dina bar alamat, konsorsium teu milih dina masalah ieu, sabab masalah UI browser sagemblengna dina kompetensi pamekar. Dina Séptémber-Oktober, versi anyar Chrome 77 sareng Firefox 70 bakal dileupaskeun, anu bakal ngaleungitkeun sertipikat EV tina tempat khusus dina bar alamat browser. Ieu kumaha parobihanna nganggo versi desktop Firefox 70 sabagé conto:
Éta:
Bakal:
Numutkeun ahli kaamanan Troy Hunt, miceun informasi EV tina bar alamat browser .
sumber: www.habr.com