26 年 2019 月 XNUMX 日 谷歌 将SSL/TLS服务器证书的最长有效期从目前的825天缩短至397天(约13个月),即缩短约一半。谷歌认为,只有使用证书进行完全自动化的操作才能摆脱当前通常归因于人为因素的安全问题。因此,理想情况下,人们应该努力实现短期证书的自动颁发。
该问题已在 CA/浏览器论坛 (CABF) 上进行投票,该论坛规定了 SSL/TLS 证书的要求,包括最长有效期。
然后10月XNUMX日 :财团成员投票 против 建议。
结果
证书颁发者投票
赞成(11票):Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo(以前称为 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反对 (20):Camerfirma、Certum (Asseco)、CFCA、中华电信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firmaprofesional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCA、TrustCor、SecureTrust(前身)信任波)
弃权 (2):哈里卡、土耳其信托
证书消费者投票
对于 (7):苹果、思科、谷歌、微软、Mozilla、Opera、360
Против:0
弃权:0
根据CA/浏览器论坛的规则,证书必须得到三分之二的证书颁发者和50%的消费者加一票的批准。
Digicert 的代表 跳过投票,他们本来会投票赞成缩短证书的有效期。他们指出,对于某些客户来说,较短的持续时间可能是一个问题,但有长期的安全好处。
无论如何,该行业尚未准备好缩短证书的有效期并完全转向自动化解决方案。证书颁发机构本身可以提供此类服务,但许多客户尚未实现自动化。因此,将期限缩短至397天的时间暂时推迟。但问题仍然悬而未决。
现在谷歌可能会尝试“强制”实施该标准,就像它对协议所做的那样 。此外,它还得到其他开发商的支持:Apple、Microsoft、Mozilla 和 Opera。
让我们记住,完全自动化是非营利认证中心 Let’s Encrypt 工作所依据的原则之一。它向所有人颁发免费证书,但证书的最长有效期限制为 90 天。证书的生命周期很短 :
- 限制密钥泄露和错误颁发的证书造成的损害,因为它们的使用时间较短;
- 短期证书支持并鼓励自动化,这对于 HTTPS 的易用性来说是绝对必要的。如果我们要将整个万维网迁移到 HTTPS,那么我们不能指望每个现有站点的管理员手动更新证书。一旦证书颁发和更新完全自动化,较短的证书生命周期将变得更加方便和实用。
数据显示,73,7%的受访者“相当支持”缩短证书有效期。
至于在地址栏中隐藏SSL证书的EV图标,联盟没有就这个问题进行投票,因为浏览器UI的问题完全在开发者的能力范围之内。 77月-70月,Chrome 70和Firefox XNUMX新版本将发布,这将剥夺EV证书在浏览器地址栏中的特殊位置。以下是使用 Firefox XNUMX 桌面版为例的变化:
是:
将是:
安全专家 Troy Hunt 表示,从浏览器地址栏中删除 EV 信息 .
来源: habr.com