26 年 2019 月 XNUMX 日 谷歌
該問題已在 CA/瀏覽器論壇 (CABF) 上進行投票,該論壇規定了 SSL/TLS 憑證的要求,包括最長有效期限。
然後10月XNUMX日
Результаты
證書頒發者投票
贊成(11票):Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo(以前稱為 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反對 (20):Camerfirma、Certum (Asseco)、CFCA、中華電信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firmaprofesional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCAign、TrustCorure、SecureT )信任波)
棄權 (2):哈里卡、土耳其信託
證書消費者投票
對於 (7):蘋果、思科、Google、微軟、Mozilla、Opera、360
針對:0
棄權:0
根據CA/瀏覽器論壇的規則,證書必須得到三分之二的證書頒發者和50%的消費者加一票的批准。
Digicert 的代表
無論如何,該行業尚未準備好縮短證書的有效期並完全轉向自動化解決方案。證書頒發機構本身可以提供此類服務,但許多客戶尚未自動化。因此,將期限縮短至397天的時間暫時延後。但問題仍然懸而未決。
現在谷歌可能會嘗試「強制」實施該標準,就像它對協議所做的那樣
讓我們記住,完全自動化是非營利認證中心 Let’s Encrypt 工作所依據的原則之一。它向所有人頒發免費證書,但證書的最長有效期限制為 90 天。證書的生命週期很短
- 限制密鑰洩漏和錯誤頒發的憑證造成的損害,因為它們的使用時間較短;
- 短期憑證支援並鼓勵自動化,這對於 HTTPS 的易用性來說是絕對必要的。如果我們要將整個萬維網遷移到 HTTPS,那麼我們不能指望每個現有網站的管理員會手動更新憑證。一旦證書頒發和更新完全自動化,較短的證書生命週期將變得更加方便和實用。
至於在網址列中隱藏SSL憑證的EV圖標,聯盟並沒有就這個問題進行投票,因為瀏覽器UI的問題完全在開發者的能力範圍之內。 77月-70月,Chrome 70和Firefox XNUMX新版本將發布,這將剝奪EV證書在瀏覽器網址列中的特殊位置。以下是使用 Firefox XNUMX 桌面版為例的變更:
曾是:
將要:
安全專家 Troy Hunt 表示,從瀏覽器網址列中刪除 EV 訊息
來源: www.habr.com