26-yil 2019-iyul, Google SSL/TLS server sertifikatlarining maksimal amal qilish muddatini joriy 825 kundan 397 kungacha (taxminan 13 oy), ya'ni taxminan yarmiga qisqartirish. Google faqat sertifikatlar bilan harakatlarni to'liq avtomatlashtirish ko'pincha inson omillari bilan bog'liq bo'lgan mavjud xavfsizlik muammolaridan xalos bo'lishiga ishonadi. Shuning uchun, ideal holda, qisqa muddatli sertifikatlarni avtomatlashtirilgan tarzda chiqarishga harakat qilish kerak.
Muammo SSL/TLS sertifikatlariga, jumladan maksimal amal qilish muddatiga talablarni belgilovchi CA/Browser Forum (CABF)da ovozga qoβyildi.
Va keyin 10 sentyabr : konsortsium a'zolari ovoz berishdi qarshi takliflar.
Natijalar
Sertifikat emitentining ovoz berish
(11 ovoz): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (sobiq Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Qarshi (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustTrust (Secure) Trustwave)
Betaraf (2): HARICA, TurkTrust
Sertifikat iste'molchilarining ovoz berish
(7) uchun: Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Qarshi: 0
Betaraf qoldi: 0
CA/Browser Forum qoidalariga koΚ»ra, sertifikat sertifikat emitentlarining uchdan ikki qismi va isteΚΌmolchilarning 50% plyus bir ovozi bilan tasdiqlanishi kerak.
Digicert vakillari ovoz berishni o'tkazib yuborgani uchun, ular sertifikatlarning amal qilish muddatini qisqartirishni yoqlab ovoz bergan bo'lardi. Ularning ta'kidlashicha, ba'zi mijozlar uchun qisqaroq muddat muammo bo'lishi mumkin, ammo uzoq muddatli xavfsizlik afzalliklari mavjud.
Qanday bo'lmasin, sanoat sertifikatlarning amal qilish muddatini qisqartirishga va avtomatlashtirilgan echimlarga to'liq o'tishga hali tayyor emas. Sertifikat organlarining o'zlari bunday xizmatlarni taklif qilishlari mumkin, ammo ko'plab mijozlar hali avtomatlashtirishni amalga oshirmagan. Shu sababli, muddatni 397 kunga qisqartirish hozircha qoldirildi. Ammo savol ochiqligicha qolmoqda.
Endi Google protokolda bo'lgani kabi standartni "majburiy" amalga oshirishga harakat qilishi mumkin . Bundan tashqari, u boshqa ishlab chiquvchilar tomonidan ham qo'llab-quvvatlanadi: Apple, Microsoft, Mozilla va Opera.
Eslatib o'tamiz, to'liq avtomatlashtirish Let's Encrypt notijorat sertifikatlashtirish markazi ishiga asoslangan tamoyillardan biridir. U barchaga bepul sertifikatlar beradi, ammo sertifikatning maksimal muddati 90 kun bilan cheklangan. Sertifikatlarning ishlash muddati qisqa :
- buzilgan kalitlar va noto'g'ri berilgan sertifikatlar tufayli etkazilgan zararni cheklash, chunki ular qisqaroq vaqt davomida ishlatiladi;
- qisqa muddatli sertifikatlar HTTPS-dan foydalanish qulayligi uchun mutlaqo zarur bo'lgan avtomatlashtirishni qo'llab-quvvatlaydi va rag'batlantiradi. Agar biz butun World Wide Web-ni HTTPS-ga o'tkazmoqchi bo'lsak, har bir mavjud sayt ma'muridan sertifikatlarni qo'lda yangilashini kuta olmaymiz. Sertifikatlarni berish va yangilash toΚ»liq avtomatlashtirilgandan soΚ»ng, sertifikatning ishlash muddati qisqaradi va qulayroq va amaliy boΚ»ladi.
Respondentlarning 73,7 foizi sertifikatlarning amal qilish muddatini qisqartirishni "aniqroq" qo'llab-quvvatlashini ko'rsatdi.
Manzil satrida SSL sertifikatlari uchun EV belgisini yashirishga kelsak, konsorsium bu masala bo'yicha ovoz bermadi, chunki brauzer UI masalasi butunlay ishlab chiquvchilarning vakolatiga kiradi. Sentyabr-oktyabr oylarida Chrome 77 va Firefox 70 ning yangi versiyalari chiqariladi, bu esa EV sertifikatlarini brauzer manzillar panelidagi maxsus joydan mahrum qiladi. Misol tariqasida Firefox 70 ning ish stoli versiyasidan foydalangan holda o'zgartirish qanday ko'rinishga ega:
edi:
Iroda:
Xavfsizlik bo'yicha mutaxassis Troy Xantning so'zlariga ko'ra, EV ma'lumotlarini brauzerlarning manzillar panelidan olib tashlash .
Manba: www.habr.com