Hulyo 26, 2019 Google
Ang isyu ay inilagay sa isang boto sa CA/Browser Forum (CABF), na nagtatakda ng mga kinakailangan para sa mga SSL/TLS certificate, kabilang ang maximum na panahon ng bisa.
At pagkatapos ay ika-10 ng Setyembre
Natuklasan
Pagboto ng Tagabigay ng Sertipiko
Para sa (11 boto): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dating Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Laban sa (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dating Trustwave)
Nag-abstain (2): HARICA, TurkTrust
Pagboto ng mga mamimili ng sertipiko
Para sa (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Laban sa: 0
Nag-abstain: 0
Ayon sa mga panuntunan ng CA/Browser Forum, ang isang sertipiko ay dapat na aprubahan ng dalawang-katlo ng mga tagapagbigay ng sertipiko at 50% kasama ang isang boto sa mga mamimili.
Mga kinatawan ng Digicert
Sa isang paraan o iba pa, ang industriya ay hindi pa handa na paikliin ang panahon ng bisa ng mga sertipiko at ganap na lumipat sa mga automated na solusyon. Ang mga awtoridad sa sertipiko mismo ay maaaring mag-alok ng mga naturang serbisyo, ngunit maraming mga kliyente ang hindi pa nagpapatupad ng automation. Samakatuwid, ang pagbabawas ng deadline sa 397 araw ay ipinagpaliban sa ngayon. Ngunit ang tanong ay nananatiling bukas.
Ngayon ay maaaring subukan ng Google na ipatupad ang pamantayang "sapilitan", tulad ng ginawa nito sa protocol
Alalahanin natin na ang buong automation ay isa sa mga prinsipyo kung saan nakabatay ang gawain ng non-profit na certification center na Let's Encrypt. Nagbibigay ito ng mga libreng sertipiko sa lahat, ngunit ang maximum na habang-buhay ng isang sertipiko ay limitado sa 90 araw. Ang mga sertipiko ay may maikling buhay
- nililimitahan ang pinsala mula sa mga nakompromisong key at maling ibinigay na mga sertipiko, dahil ginagamit ang mga ito sa mas maikling panahon;
- Sinusuportahan at hinihikayat ng mga panandaliang sertipiko ang automation, na talagang kinakailangan para sa kadalian ng paggamit ng HTTPS. Kung ililipat namin ang buong World Wide Web sa HTTPS, hindi namin maaasahan na manu-manong i-update ng administrator ng bawat umiiral na site ang mga certificate. Sa sandaling maging ganap na awtomatiko ang pag-isyu ng sertipiko at pag-renew, magiging mas maginhawa at praktikal ang mas maiikling buhay ng certificate.
Tulad ng para sa pagtatago ng EV icon para sa mga SSL certificate sa address bar, ang consortium ay hindi bumoto sa isyung ito, dahil ang isyu ng browser UI ay ganap na nasa loob ng kakayahan ng mga developer. Sa Setyembre-Oktubre, ilalabas ang mga bagong bersyon ng Chrome 77 at Firefox 70, na mag-aalis ng mga EV certificate ng isang espesyal na lugar sa address bar ng browser. Narito kung ano ang hitsura ng pagbabago gamit ang desktop na bersyon ng Firefox 70 bilang isang halimbawa:
Ito ay:
Will:
Ayon sa security expert na si Troy Hunt, inaalis ang impormasyon ng EV mula sa address bar ng mga browser
Pinagmulan: www.habr.com