Hulyo 26, 2019 Google bawasan ang maximum na panahon ng bisa ng SSL/TLS server certificate mula sa kasalukuyang 825 araw hanggang 397 araw (mga 13 buwan), iyon ay, ng humigit-kumulang kalahati. Naniniwala ang Google na ang kumpletong automation ng mga aksyon na may mga certificate lang ang makakaalis sa mga kasalukuyang problema sa seguridad, na kadalasang iniuugnay sa mga kadahilanan ng tao. Samakatuwid, sa isip, ang isa ay dapat magsikap para sa awtomatikong pagpapalabas ng mga panandaliang sertipiko.
Ang isyu ay inilagay sa isang boto sa CA/Browser Forum (CABF), na nagtatakda ng mga kinakailangan para sa mga SSL/TLS certificate, kabilang ang maximum na panahon ng bisa.
At pagkatapos ay ika-10 ng Setyembre : bumoto ang mga miyembro ng consortium ΠΏΡΠΎΡΠΈΠ² mga mungkahi.
Natuklasan
Pagboto ng Tagabigay ng Sertipiko
Para sa (11 boto): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (dating Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Laban sa (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (dating Trustwave)
Nag-abstain (2): HARICA, TurkTrust
Pagboto ng mga mamimili ng sertipiko
Para sa (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Laban sa: 0
Nag-abstain: 0
Ayon sa mga panuntunan ng CA/Browser Forum, ang isang sertipiko ay dapat na aprubahan ng dalawang-katlo ng mga tagapagbigay ng sertipiko at 50% kasama ang isang boto sa mga mamimili.
Mga kinatawan ng Digicert para sa paglaktaw sa boto, kung saan bumoto sana sila pabor na bawasan ang panahon ng bisa ng mga sertipiko. Napansin nila na para sa ilang mga customer, ang mas maikling tagal ay maaaring isang problema, ngunit may mga pangmatagalang benepisyo sa seguridad.
Sa isang paraan o iba pa, ang industriya ay hindi pa handa na paikliin ang panahon ng bisa ng mga sertipiko at ganap na lumipat sa mga automated na solusyon. Ang mga awtoridad sa sertipiko mismo ay maaaring mag-alok ng mga naturang serbisyo, ngunit maraming mga kliyente ang hindi pa nagpapatupad ng automation. Samakatuwid, ang pagbabawas ng deadline sa 397 araw ay ipinagpaliban sa ngayon. Ngunit ang tanong ay nananatiling bukas.
Ngayon ay maaaring subukan ng Google na ipatupad ang pamantayang "sapilitan", tulad ng ginawa nito sa protocol . Bukod dito, sinusuportahan din ito ng iba pang mga developer: Apple, Microsoft, Mozilla at Opera.
Alalahanin natin na ang buong automation ay isa sa mga prinsipyo kung saan nakabatay ang gawain ng non-profit na certification center na Let's Encrypt. Nagbibigay ito ng mga libreng sertipiko sa lahat, ngunit ang maximum na habang-buhay ng isang sertipiko ay limitado sa 90 araw. Ang mga sertipiko ay may maikling buhay :
- nililimitahan ang pinsala mula sa mga nakompromisong key at maling ibinigay na mga sertipiko, dahil ginagamit ang mga ito sa mas maikling panahon;
- Sinusuportahan at hinihikayat ng mga panandaliang sertipiko ang automation, na talagang kinakailangan para sa kadalian ng paggamit ng HTTPS. Kung ililipat namin ang buong World Wide Web sa HTTPS, hindi namin maaasahan na manu-manong i-update ng administrator ng bawat umiiral na site ang mga certificate. Sa sandaling maging ganap na awtomatiko ang pag-isyu ng sertipiko at pag-renew, magiging mas maginhawa at praktikal ang mas maiikling buhay ng certificate.
nagpakita na ang 73,7% ng mga respondent ay "sa halip ay sumusuporta" na nagpapaikli sa panahon ng bisa ng mga sertipiko.
Tulad ng para sa pagtatago ng EV icon para sa mga SSL certificate sa address bar, ang consortium ay hindi bumoto sa isyung ito, dahil ang isyu ng browser UI ay ganap na nasa loob ng kakayahan ng mga developer. Sa Setyembre-Oktubre, ilalabas ang mga bagong bersyon ng Chrome 77 at Firefox 70, na mag-aalis ng mga EV certificate ng isang espesyal na lugar sa address bar ng browser. Narito kung ano ang hitsura ng pagbabago gamit ang desktop na bersyon ng Firefox 70 bilang isang halimbawa:
Ito ay:
Will:
Ayon sa security expert na si Troy Hunt, inaalis ang impormasyon ng EV mula sa address bar ng mga browser .
Pinagmulan: www.habr.com