26 年 2019 月 XNUMX 日 谷歌 將SSL/TLS伺服器憑證的最長有效期限從目前的825天縮短至397天(約13個月),即縮短約一半。谷歌認為,只有使用憑證進行完全自動化的操作才能擺脫當前通常歸因於人為因素的安全問題。因此,理想情況下,人們應該努力實現短期證書的自動頒發。
該問題已在 CA/瀏覽器論壇 (CABF) 上進行投票,該論壇規定了 SSL/TLS 憑證的要求,包括最長有效期限。
然後10月XNUMX日 :財團成員投票 против 建議。
Результаты
證書頒發者投票
贊成(11票):Amazon、Buypass、Certigna (DHIMYOTIS)、certSIGN、Sectigo(以前稱為 Comodo CA)、eMudhra、Kamu SM、Let's Encrypt、Logius、PKIoverheid、SHECA、SSL.com
反對 (20):Camerfirma、Certum (Asseco)、CFCA、中華電信、Comsign、D-TRUST、DarkMatter、Entrust Datacard、Firmaprofesional、GDCA、GlobalSign、GoDaddy、Izenpe、Network Solutions、OATI、SECOM、SwissSign、TWCAign、TrustCorure、SecureT )信任波)
棄權 (2):哈里卡、土耳其信託
證書消費者投票
對於 (7):蘋果、思科、Google、微軟、Mozilla、Opera、360
針對:0
棄權:0
根據CA/瀏覽器論壇的規則,證書必須得到三分之二的證書頒發者和50%的消費者加一票的批准。
Digicert 的代表 跳過投票,他們本來會投票贊成縮短證書的有效期限。他們指出,對於某些客戶來說,較短的持續時間可能是一個問題,但有長期的安全性好處。
無論如何,該行業尚未準備好縮短證書的有效期並完全轉向自動化解決方案。證書頒發機構本身可以提供此類服務,但許多客戶尚未自動化。因此,將期限縮短至397天的時間暫時延後。但問題仍然懸而未決。
現在谷歌可能會嘗試「強制」實施該標準,就像它對協議所做的那樣 。此外,它還得到其他開發商的支援:Apple、Microsoft、Mozilla 和 Opera。
讓我們記住,完全自動化是非營利認證中心 Let’s Encrypt 工作所依據的原則之一。它向所有人頒發免費證書,但證書的最長有效期限制為 90 天。證書的生命週期很短 :
- 限制密鑰洩漏和錯誤頒發的憑證造成的損害,因為它們的使用時間較短;
- 短期憑證支援並鼓勵自動化,這對於 HTTPS 的易用性來說是絕對必要的。如果我們要將整個萬維網遷移到 HTTPS,那麼我們不能指望每個現有網站的管理員會手動更新憑證。一旦證書頒發和更新完全自動化,較短的證書生命週期將變得更加方便和實用。
數據顯示,73,7%的受訪者「相當支持」縮短證書有效期限。
至於在網址列中隱藏SSL憑證的EV圖標,聯盟並沒有就這個問題進行投票,因為瀏覽器UI的問題完全在開發者的能力範圍之內。 77月-70月,Chrome 70和Firefox XNUMX新版本將發布,這將剝奪EV證書在瀏覽器網址列中的特殊位置。以下是使用 Firefox XNUMX 桌面版為例的變更:
曾是:
將要:
安全專家 Troy Hunt 表示,從瀏覽器網址列中刪除 EV 訊息 .
來源: www.habr.com