26 juli 2019 Google minska den maximala giltighetsperioden för SSL/TLS-servercertifikat från nuvarande 825 dagar till 397 dagar (cirka 13 månader), det vill säga med ungefär hälften. Google tror att endast fullständig automatisering av åtgärder med certifikat kommer att bli av med de nuvarande säkerhetsproblemen, som ofta tillskrivs mänskliga faktorer. Därför bör man helst sträva efter automatiserad utfärdande av kortlivade certifikat.
Frågan gick till omröstning i CA/Browser Forum (CABF), som ställer krav på SSL/TLS-certifikat, inklusive maximal giltighetstid.
Och sedan 10 september : konsortiets medlemmar röstade против förslag.
Resultat
Certifikatutfärdares röstning
För (11 röster): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidigare Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mot (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidigare Trustwave)
Avstod från att rösta (2): HARICA, TurkTrust
Certifikat konsumenter röstar
För (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
mot: 0
Avstod från att rösta: 0
Enligt CA/Browser Forums regler måste ett certifikat godkännas av två tredjedelar av certifikatutfärdarna och 50 % plus en röst bland konsumenterna.
Representanter för Digicert för att ha hoppat över omröstningen, där de skulle ha röstat för att förkorta intygens giltighetstid. De noterar att för vissa kunder kan den kortare varaktigheten vara ett problem, men det finns långsiktiga säkerhetsfördelar.
På ett eller annat sätt är branschen ännu inte redo att förkorta certifikatens giltighetstid och helt gå över till automatiserade lösningar. Certifikatmyndigheter kan själva erbjuda sådana tjänster, men många kunder har ännu inte implementerat automatisering. Därför skjuts sänkningen av tidsfristen till 397 dagar upp tills vidare. Men frågan är fortfarande öppen.
Nu kan Google försöka implementera standarden "med tvång", som det gjorde med protokollet . Dessutom stöds det också av andra utvecklare: Apple, Microsoft, Mozilla och Opera.
Låt oss komma ihåg att full automatisering är en av principerna som det ideella certifieringscentret Let's Encrypt bygger på. Den utfärdar gratiscertifikat till alla, men den maximala livslängden för ett certifikat är begränsad till 90 dagar. Certifikat har kort livslängd :
- begränsa skadan från komprometterade nycklar och felaktigt utfärdade certifikat, eftersom de används under en kortare tidsperiod;
- kortlivade certifikat stödjer och uppmuntrar automatisering, vilket är absolut nödvändigt för enkel användning av HTTPS. Om vi ska migrera hela World Wide Web till HTTPS kan vi inte förvänta oss att administratören för varje befintlig webbplats manuellt uppdaterar certifikat. När väl utfärdande och förnyelse av certifikat blir helt automatiserade kommer kortare certifikatlivslängder att bli bekvämare och mer praktiska.
visade att 73,7 % av de tillfrågade "snarare stödjer" en förkortning av certifikatens giltighetstid.
När det gäller att dölja EV-ikonen för SSL-certifikat i adressfältet röstade inte konsortiet om denna fråga, eftersom frågan om webbläsarens användargränssnitt ligger helt inom utvecklarnas kompetens. I september-oktober kommer nya versioner av Chrome 77 och Firefox 70 att släppas, vilket kommer att beröva EV-certifikat en speciell plats i webbläsarens adressfält. Så här ser förändringen ut med skrivbordsversionen av Firefox 70 som exempel:
Var:
Kommer vara:
Enligt säkerhetsexperten Troy Hunt, tar bort EV-information från adressfältet i webbläsare .
Källa: will.com