26 juli 2019 Google
Frågan gick till omröstning i CA/Browser Forum (CABF), som ställer krav på SSL/TLS-certifikat, inklusive maximal giltighetstid.
Och sedan 10 september
Resultat
Certifikatutfärdares röstning
För (11 röster): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (tidigare Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Mot (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (tidigare Trustwave)
Avstod från att rösta (2): HARICA, TurkTrust
Certifikat konsumenter röstar
För (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
mot: 0
Avstod från att rösta: 0
Enligt CA/Browser Forums regler måste ett certifikat godkännas av två tredjedelar av certifikatutfärdarna och 50 % plus en röst bland konsumenterna.
Representanter för Digicert
På ett eller annat sätt är branschen ännu inte redo att förkorta certifikatens giltighetstid och helt gå över till automatiserade lösningar. Certifikatmyndigheter kan själva erbjuda sådana tjänster, men många kunder har ännu inte implementerat automatisering. Därför skjuts sänkningen av tidsfristen till 397 dagar upp tills vidare. Men frågan är fortfarande öppen.
Nu kan Google försöka implementera standarden "med tvång", som det gjorde med protokollet
Låt oss komma ihåg att full automatisering är en av principerna som det ideella certifieringscentret Let's Encrypt bygger på. Den utfärdar gratiscertifikat till alla, men den maximala livslängden för ett certifikat är begränsad till 90 dagar. Certifikat har kort livslängd
- begränsa skadan från komprometterade nycklar och felaktigt utfärdade certifikat, eftersom de används under en kortare tidsperiod;
- kortlivade certifikat stödjer och uppmuntrar automatisering, vilket är absolut nödvändigt för enkel användning av HTTPS. Om vi ska migrera hela World Wide Web till HTTPS kan vi inte förvänta oss att administratören för varje befintlig webbplats manuellt uppdaterar certifikat. När väl utfärdande och förnyelse av certifikat blir helt automatiserade kommer kortare certifikatlivslängder att bli bekvämare och mer praktiska.
När det gäller att dölja EV-ikonen för SSL-certifikat i adressfältet röstade inte konsortiet om denna fråga, eftersom frågan om webbläsarens användargränssnitt ligger helt inom utvecklarnas kompetens. I september-oktober kommer nya versioner av Chrome 77 och Firefox 70 att släppas, vilket kommer att beröva EV-certifikat en speciell plats i webbläsarens adressfält. Så här ser förändringen ut med skrivbordsversionen av Firefox 70 som exempel:
Var:
Kommer vara:
Enligt säkerhetsexperten Troy Hunt, tar bort EV-information från adressfältet i webbläsare
Källa: will.com