Ngày 26 tháng 2019 năm XNUMX Google giảm thời hạn hiệu lực tối đa của chứng chỉ máy chủ SSL/TLS từ 825 ngày hiện tại xuống còn 397 ngày (khoảng 13 tháng), tức là khoảng một nửa. Google tin rằng chỉ có tự động hóa hoàn toàn các hành động có chứng chỉ mới loại bỏ được các vấn đề bảo mật hiện tại, thường do yếu tố con người. Vì vậy, lý tưởng nhất là người ta nên cố gắng tự động cấp các chứng chỉ có thời hạn sử dụng ngắn hạn.
Vấn đề đã được đưa ra biểu quyết trong Diễn đàn CA/Trình duyệt (CABF), nơi đặt ra các yêu cầu đối với chứng chỉ SSL/TLS, bao gồm cả thời hạn hiệu lực tối đa.
Và rồi ngày 10 tháng XNUMX : các thành viên liên danh đã bình chọn против đề nghị.
Những phát hiện
Biểu quyết của nhà phát hành chứng chỉ
Dành cho (11 phiếu): Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (trước đây là Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Chống lại (20): Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor, SecureTrust (trước đây Sóng tin cậy)
Bỏ phiếu trắng (2): HARICA, TurkTrust
Giấy chứng nhận người tiêu dùng bỏ phiếu
Vì (7): Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Chống lại: 0
bỏ phiếu trắng: 0
Theo quy định của Diễn đàn CA/Trình duyệt, chứng chỉ phải được 50/XNUMX số nhà phát hành chứng chỉ phê duyệt và XNUMX% cộng thêm một phiếu bầu của người tiêu dùng.
Đại diện Digicert vì đã bỏ phiếu, lẽ ra họ sẽ bỏ phiếu ủng hộ việc giảm thời hạn hiệu lực của chứng chỉ. Họ lưu ý rằng đối với một số khách hàng, thời gian ngắn hơn có thể là một vấn đề nhưng mang lại lợi ích bảo mật lâu dài.
Bằng cách này hay cách khác, ngành vẫn chưa sẵn sàng rút ngắn thời hạn hiệu lực của chứng chỉ và chuyển hoàn toàn sang các giải pháp tự động. Bản thân cơ quan cấp chứng chỉ có thể cung cấp các dịch vụ như vậy, nhưng nhiều khách hàng vẫn chưa triển khai tự động hóa. Vì vậy, việc giảm thời hạn xuống còn 397 ngày được hoãn lại. Nhưng câu hỏi vẫn còn bỏ ngỏ.
Bây giờ Google có thể cố gắng triển khai tiêu chuẩn “bắt buộc”, giống như đã làm với giao thức . Hơn nữa, nó còn được hỗ trợ bởi các nhà phát triển khác: Apple, Microsoft, Mozilla và Opera.
Chúng ta hãy nhớ lại rằng tự động hóa hoàn toàn là một trong những nguyên tắc làm cơ sở cho hoạt động của trung tâm chứng nhận phi lợi nhuận Let's Encrypt. Nó cấp chứng chỉ miễn phí cho mọi người, nhưng thời hạn tối đa của chứng chỉ được giới hạn trong 90 ngày. Chứng chỉ có thời gian tồn tại ngắn :
- hạn chế thiệt hại do khóa bị lộ và chứng chỉ được cấp không chính xác vì chúng được sử dụng trong khoảng thời gian ngắn hơn;
- hỗ trợ các chứng chỉ tồn tại trong thời gian ngắn và khuyến khích tự động hóa, điều này hoàn toàn cần thiết để HTTPS dễ sử dụng. Nếu chúng tôi định di chuyển toàn bộ World Wide Web sang HTTPS thì chúng tôi không thể mong đợi quản trị viên của từng trang web hiện có cập nhật chứng chỉ theo cách thủ công. Khi việc cấp và gia hạn chứng chỉ trở nên hoàn toàn tự động, thời gian tồn tại của chứng chỉ ngắn hơn sẽ trở nên thuận tiện và thiết thực hơn.
cho thấy 73,7% số người được hỏi “khá ủng hộ” việc rút ngắn thời hạn hiệu lực của chứng chỉ.
Về việc ẩn biểu tượng EV cho chứng chỉ SSL trong thanh địa chỉ, liên minh đã không biểu quyết về vấn đề này vì vấn đề giao diện người dùng trình duyệt hoàn toàn nằm trong thẩm quyền của các nhà phát triển. Vào tháng 77-70, các phiên bản mới của Chrome 70 và Firefox XNUMX sẽ được phát hành, điều này sẽ tước đi vị trí đặc biệt của chứng chỉ EV trên thanh địa chỉ trình duyệt. Đây là ví dụ về sự thay đổi khi sử dụng phiên bản Firefox XNUMX dành cho máy tính để bàn làm ví dụ:
Đó là:
Sẽ là:
Theo chuyên gia bảo mật Troy Hunt, việc xóa thông tin EV khỏi thanh địa chỉ của trình duyệt .
Nguồn: www.habr.com