26 липня 2019 року Google
Питання поставили на голосування в організації CA/Browser Forum (CABF), яка встановлює вимоги до сертифікатів SSL/TLS, у тому числі до максимального терміну дії.
І ось 10 вересня
Результати
Голосування видавців сертифікатів
За (11 голосів): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (колишній Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Проти (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, Tru Trustwave)
Утрималися (2): HARICA, TurkTrust
Голосування споживачів сертифікатів
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Проти: 0
Утрималося: 0
За правилами CA/Browser Forum, для ухвалення позитивного рішення за нього мають проголосувати дві третини видавців сертифікатів та 50% плюс один голос серед споживачів.
Представники Digicert
Так чи інакше, але індустрія поки що не готова скорочувати термін дії сертифікатів і повністю переходити на автоматизовані рішення. Самі центри сертифікації можуть запропонувати такі послуги, але багато клієнтів поки що не впровадили автоматизацію. Тому скорочення термінів до 397 днів поки що відкладається. Але питання залишається відкритим.
Тепер Google може спробувати впровадити стандарт «примусово», як це було з протоколом
Нагадаємо, що повна автоматизація — один із принципів, на якому заснована робота некомерційного центру сертифікації Let's Encrypt. Він видає безкоштовні сертифікати всім охочим, але максимальний термін життя сертифіката обмежений 90 днів. Короткі часи життя сертифікатів мають
- обмеження шкоди від компрометованих ключів та невірно випущених сертифікатів, оскільки вони використовуються на меншому проміжку часу;
- короткоживучі сертифікати підтримують та заохочують автоматизацію, яка абсолютно необхідна для простоти використання HTTPS. Якщо ми збираємося мігрувати всю Всесвітню павутину на HTTPS, то не можна очікувати ручного оновлення сертифікатів від адміністратора кожного існуючого сайту. Як тільки випуск та оновлення сертифікатів стане повністю автоматизованим, більш короткі часи життя сертифікатів навпаки стануть зручнішими та практичнішими.
Щодо приховування значка EV для SSL-сертифікатів в адресному рядку, з цього питання консорціум не голосував, тому що питання UI браузерів знаходиться повністю в компетенції розробників. У вересні-жовтні вийдуть нові версії Chrome 77 та Firefox 70, які позбавлять EV-сертифікати особливого місця в адресному рядку браузера. Ось як виглядає зміна на прикладі десктопної версії Firefox 70:
було:
Буде:
На думку фахівця з безпеки Троя Ханта, видалення інформації EV з адресного рядка браузерів
Джерело: habr.com