26 年 2019 月 XNUMX 日 谷歌
该问题已在 CA/浏览器论坛 (CABF) 上进行投票,该论坛规定了 SSL/TLS 证书的要求,包括最长有效期。
然后10月XNUMX日
结果
证书颁发者投票
赞成(11票):Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo(以前称为 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反对 (20):Camerfirma、Certum (Asseco)、CFCA、中华电信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firmaprofesional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCA、TrustCor、SecureTrust(前身)信任波)
弃权 (2):哈里卡、土耳其信托
证书消费者投票
对于 (7):苹果、思科、谷歌、微软、Mozilla、Opera、360
Против:0
弃权:0
根据CA/浏览器论坛的规则,证书必须得到三分之二的证书颁发者和50%的消费者加一票的批准。
Digicert 的代表
无论如何,该行业尚未准备好缩短证书的有效期并完全转向自动化解决方案。证书颁发机构本身可以提供此类服务,但许多客户尚未实现自动化。因此,将期限缩短至397天的时间暂时推迟。但问题仍然悬而未决。
现在谷歌可能会尝试“强制”实施该标准,就像它对协议所做的那样
让我们记住,完全自动化是非营利认证中心 Let’s Encrypt 工作所依据的原则之一。它向所有人颁发免费证书,但证书的最长有效期限制为 90 天。证书的生命周期很短
- 限制密钥泄露和错误颁发的证书造成的损害,因为它们的使用时间较短;
- 短期证书支持并鼓励自动化,这对于 HTTPS 的易用性来说是绝对必要的。如果我们要将整个万维网迁移到 HTTPS,那么我们不能指望每个现有站点的管理员手动更新证书。一旦证书颁发和更新完全自动化,较短的证书生命周期将变得更加方便和实用。
至于在地址栏中隐藏SSL证书的EV图标,联盟没有就这个问题进行投票,因为浏览器UI的问题完全在开发者的能力范围之内。 77月-70月,Chrome 70和Firefox XNUMX新版本将发布,这将剥夺EV证书在浏览器地址栏中的特殊位置。以下是使用 Firefox XNUMX 桌面版为例的变化:
是:
将是:
安全专家 Troy Hunt 表示,从浏览器地址栏中删除 EV 信息
来源: habr.com