26 Temmuz 2019Google bir teklif yaptı SSL/TLS sunucu sertifikalarının maksimum geçerlilik süresini mevcut 825 günden 397 güne (yaklaşık 13 ay), yani yaklaşık yarı yarıya düşürün. Google, genellikle insan faktörlerine atfedilen mevcut güvenlik sorunlarından yalnızca sertifikalarla yapılan işlemlerin tam otomasyonunun kurtulacağına inanıyor. Bu nedenle ideal olarak kısa ömürlü sertifikaların otomatik olarak verilmesi için çaba gösterilmelidir.

Sorun, maksimum geçerlilik süresi de dahil olmak üzere SSL/TLS sertifikalarının gerekliliklerini belirleyen CA/Tarayıcı Forumunda (CABF) oylamaya sunuldu.

Ve sonra 10 Eylül sonuçlar açıklandı: konsorsiyum üyeleri oy kullandı против öneriler.

Bulgular

Sertifikayı Veren Oyu

(11 oy) için: Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (eski adıyla Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Karşı (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (eski) Güven dalgası)

Çekimser kaldı (2): HARICA, TurkTrust

Sertifika tüketicileri oy veriyor

(7) için: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Karşı: 0

Çekimser kaldı: 0

CA/Tarayıcı Forumu kurallarına göre, bir sertifikanın, sertifikayı verenlerin üçte ikisi ve tüketiciler arasında %50 artı bir oy tarafından onaylanması gerekir.

Digicert temsilcileri özür diledi oylamanın atlanması nedeniyle, sertifikaların geçerlilik süresinin kısaltılması lehinde oy kullanacaklardı. Bazı müşteriler için daha kısa sürenin sorun olabileceğini ancak uzun vadeli güvenlik avantajlarının bulunduğunu belirtiyorlar.

Öyle ya da böyle, sektör henüz sertifikaların geçerlilik süresini kısaltmaya ve tamamen otomatik çözümlere geçmeye hazır değil. Sertifika yetkilileri bu tür hizmetleri kendileri sunabilir ancak birçok müşteri henüz otomasyonu uygulamamıştır. Bu nedenle sürenin 397 güne indirilmesi şimdilik ertelendi. Ancak soru hala açık.

Artık Google, protokolde olduğu gibi standardı da “zorla” uygulamaya çalışabilir Sertifika Şeffaflığı. Ayrıca diğer geliştiriciler tarafından da desteklenmektedir: Apple, Microsoft, Mozilla ve Opera.

Kar amacı gütmeyen sertifika merkezi Let's Encrypt'in çalışmalarının dayandığı ilkelerden birinin tam otomasyon olduğunu hatırlayalım. Herkese ücretsiz sertifika verir ancak sertifikanın maksimum ömrü 90 günle sınırlıdır. Sertifikaların ömrü kısadır iki ana avantaj:

1. daha kısa bir süre boyunca kullanıldıkları için, ele geçirilmiş anahtarlardan ve yanlış verilen sertifikalardan kaynaklanan hasarın sınırlandırılması;
2. Kısa ömürlü sertifikalar, HTTPS'nin kullanım kolaylığı için kesinlikle gerekli olan otomasyonu destekler ve teşvik eder. World Wide Web'in tamamını HTTPS'ye taşıyacaksak, mevcut her sitenin yöneticisinin sertifikaları manuel olarak güncellemesini bekleyemeyiz. Sertifika verme ve yenileme işlemleri tamamen otomatik hale geldiğinde, sertifika ömürlerinin kısalması daha kullanışlı ve pratik hale gelecektir.

Habré hakkında GlobalSign araştırması katılımcıların %73,7'sinin sertifikaların geçerlilik süresinin kısaltılmasını "oldukça desteklediğini" gösterdi.

SSL sertifikaları için EV simgesinin adres çubuğunda gizlenmesine gelince, konsorsiyum bu konuda oylama yapmadı çünkü tarayıcı kullanıcı arayüzü meselesi tamamen geliştiricilerin yetkisi dahilindedir. Eylül-Ekim aylarında, EV sertifikalarını tarayıcı adres çubuğunda özel bir yerden mahrum bırakacak Chrome 77 ve Firefox 70'in yeni sürümleri yayınlanacak. Örnek olarak Firefox 70'in masaüstü sürümünü kullanırsak, değişikliğin nasıl göründüğü:

Oldu:

Olacak:

Güvenlik uzmanı Troy Hunt'a göre EV bilgilerinin tarayıcıların adres çubuğundan kaldırılması aslında bu tür sertifikaları gömüyor.

Kaynak: habr.com