26 липня 2019 року Google зменшити максимальний термін дії серверних сертифікатів SSL/TLS з нинішніх 825 днів до 397 днів (близько 13 місяців), тобто приблизно вдвічі. Google вважає, що тільки повна автоматизація дій із сертифікатами дозволить позбутися від нинішніх проблем з безпекою, які часто пояснюються людським фактором. Тому в ідеалі потрібно прагнути до автоматизованої видачі короткоживучих сертифікатів.
Питання поставили на голосування в організації CA/Browser Forum (CABF), яка встановлює вимоги до сертифікатів SSL/TLS, у тому числі до максимального терміну дії.
І ось 10 вересня : члени консорціуму проголосували проти пропозиції.
Результати
Голосування видавців сертифікатів
За (11 голосів): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (колишній Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Проти (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, Tru Trustwave)
Утрималися (2): HARICA, TurkTrust
Голосування споживачів сертифікатів
За (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Проти: 0
Утрималося: 0
За правилами CA/Browser Forum, для ухвалення позитивного рішення за нього мають проголосувати дві третини видавців сертифікатів та 50% плюс один голос серед споживачів.
Представники Digicert за пропуск голосування, де б віддали свій голос на користь скорочення терміну дії сертифікатів. Вони зазначають, що для деяких клієнтів скорочення терміну дії може бути проблемою, але в довготривалій перспективі це дає переваги для безпеки.
Так чи інакше, але індустрія поки що не готова скорочувати термін дії сертифікатів і повністю переходити на автоматизовані рішення. Самі центри сертифікації можуть запропонувати такі послуги, але багато клієнтів поки що не впровадили автоматизацію. Тому скорочення термінів до 397 днів поки що відкладається. Але питання залишається відкритим.
Тепер Google може спробувати впровадити стандарт «примусово», як це було з протоколом . Тим більше, що її підтримують інші розробники: Apple, Microsoft, Mozilla і Opera.
Нагадаємо, що повна автоматизація — один із принципів, на якому заснована робота некомерційного центру сертифікації Let's Encrypt. Він видає безкоштовні сертифікати всім охочим, але максимальний термін життя сертифіката обмежений 90 днів. Короткі часи життя сертифікатів мають :
- обмеження шкоди від компрометованих ключів та невірно випущених сертифікатів, оскільки вони використовуються на меншому проміжку часу;
- короткоживучі сертифікати підтримують та заохочують автоматизацію, яка абсолютно необхідна для простоти використання HTTPS. Якщо ми збираємося мігрувати всю Всесвітню павутину на HTTPS, то не можна очікувати ручного оновлення сертифікатів від адміністратора кожного існуючого сайту. Як тільки випуск та оновлення сертифікатів стане повністю автоматизованим, більш короткі часи життя сертифікатів навпаки стануть зручнішими та практичнішими.
показав, що 73,7% респондентів «швидше підтримують» скорочення терміну дії сертифікатів.
Щодо приховування значка EV для SSL-сертифікатів в адресному рядку, з цього питання консорціум не голосував, тому що питання UI браузерів знаходиться повністю в компетенції розробників. У вересні-жовтні вийдуть нові версії Chrome 77 та Firefox 70, які позбавлять EV-сертифікати особливого місця в адресному рядку браузера. Ось як виглядає зміна на прикладі десктопної версії Firefox 70:
було:
Буде:
На думку фахівця з безпеки Троя Ханта, видалення інформації EV з адресного рядка браузерів .
Джерело: habr.com