26 Temmuz 2019Google
Sorun, maksimum geçerlilik süresi de dahil olmak üzere SSL/TLS sertifikalarının gerekliliklerini belirleyen CA/Tarayıcı Forumunda (CABF) oylamaya sunuldu.
Ve sonra 10 Eylül
Bulgular
Sertifikayı Veren Oyu
(11 oy) için: Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (eski adıyla Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Karşı (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (eski) Güven dalgası)
Çekimser kaldı (2): HARICA, TurkTrust
Sertifika tüketicileri oy veriyor
(7) için: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Karşı: 0
Çekimser kaldı: 0
CA/Tarayıcı Forumu kurallarına göre, bir sertifikanın, sertifikayı verenlerin üçte ikisi ve tüketiciler arasında %50 artı bir oy tarafından onaylanması gerekir.
Digicert temsilcileri
Öyle ya da böyle, sektör henüz sertifikaların geçerlilik süresini kısaltmaya ve tamamen otomatik çözümlere geçmeye hazır değil. Sertifika yetkilileri bu tür hizmetleri kendileri sunabilir ancak birçok müşteri henüz otomasyonu uygulamamıştır. Bu nedenle sürenin 397 güne indirilmesi şimdilik ertelendi. Ancak soru hala açık.
Artık Google, protokolde olduğu gibi standardı da “zorla” uygulamaya çalışabilir
Kar amacı gütmeyen sertifika merkezi Let's Encrypt'in çalışmalarının dayandığı ilkelerden birinin tam otomasyon olduğunu hatırlayalım. Herkese ücretsiz sertifika verir ancak sertifikanın maksimum ömrü 90 günle sınırlıdır. Sertifikaların ömrü kısadır
- daha kısa bir süre boyunca kullanıldıkları için, ele geçirilmiş anahtarlardan ve yanlış verilen sertifikalardan kaynaklanan hasarın sınırlandırılması;
- Kısa ömürlü sertifikalar, HTTPS'nin kullanım kolaylığı için kesinlikle gerekli olan otomasyonu destekler ve teşvik eder. World Wide Web'in tamamını HTTPS'ye taşıyacaksak, mevcut her sitenin yöneticisinin sertifikaları manuel olarak güncellemesini bekleyemeyiz. Sertifika verme ve yenileme işlemleri tamamen otomatik hale geldiğinde, sertifika ömürlerinin kısalması daha kullanışlı ve pratik hale gelecektir.
SSL sertifikaları için EV simgesinin adres çubuğunda gizlenmesine gelince, konsorsiyum bu konuda oylama yapmadı çünkü tarayıcı kullanıcı arayüzü meselesi tamamen geliştiricilerin yetkisi dahilindedir. Eylül-Ekim aylarında, EV sertifikalarını tarayıcı adres çubuğunda özel bir yerden mahrum bırakacak Chrome 77 ve Firefox 70'in yeni sürümleri yayınlanacak. Örnek olarak Firefox 70'in masaüstü sürümünü kullanırsak, değişikliğin nasıl göründüğü:
Oldu:
Olacak:
Güvenlik uzmanı Troy Hunt'a göre EV bilgilerinin tarayıcıların adres çubuğundan kaldırılması
Kaynak: habr.com