El 26 de julio de 2019, Google presentó una propuesta para reducir el período de validez máxima de los certificados SSL / TLS del servidor de los 825 días actuales a 397 días (aproximadamente 13 meses), es decir, aproximadamente la mitad. Google cree que solo la automatización completa de las acciones con certificados eliminará los problemas de seguridad actuales, que a menudo se explican por el factor humano. Por lo tanto, idealmente, debe esforzarse por la emisión automatizada de certificados de corta duración.

La pregunta fue sometida a votación por la organización CA / Browser Forum (CABF), que establece los requisitos para los certificados SSL / TLS, incluido el período de validez máximo.

Y el 10 de septiembre, se anunciaron los resultados : los miembros del consorcio votaron en contra de la propuesta.

Resultados

Los editores de certificados votan

Por (11 votos) : Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com

Contras (20) : Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Network Solutions, OATI, SECOM, SwissSign, TWCA, TrustCor , SecureTrust (anteriormente Trustwave)

Abstenciones (2) : HARICA, TurkTrust

Certificado de votación del consumidor

Para (7) : Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

En contra : 0

Abstenciones : 0

De acuerdo con las reglas del Foro de CA / Navegador, para tomar una decisión positiva, dos tercios de los editores de certificados y el 50% más un voto entre los consumidores deben votar por él.

Los representantes de Digicert se disculparon por perder el voto, donde votarían a favor de acortar la validez de los certificados. Señalan que para algunos clientes, acortar su período de validez puede ser un problema, pero a la larga esto proporciona beneficios de seguridad.

De una forma u otra, pero la industria aún no está lista para acortar la validez de los certificados y cambiar por completo a soluciones automatizadas. Las propias autoridades de certificación pueden ofrecer dichos servicios, pero muchos clientes aún no han implementado la automatización. Por lo tanto, se pospone la reducción de tiempo a 397 días. Pero la pregunta sigue abierta.

Ahora Google puede intentar implementar la "fuerza" estándar, como fue el caso con el protocolo de Transparencia de certificados . Además, es compatible con otros desarrolladores: Apple, Microsoft, Mozilla y Opera.

Recuerde que la automatización completa es uno de los principios en los que se basa el centro de certificación sin fines de lucro Let's Encrypt. Emite certificados gratuitos para todos, pero la vida útil máxima del certificado está limitada a 90 días. Las vidas cortas de certificados tienen dos ventajas principales :

1. limitar el daño de claves comprometidas y certificados emitidos incorrectamente, ya que se usan por un período de tiempo más corto;
   
2. Los certificados de corta duración respaldan y fomentan la automatización, que es absolutamente esencial para la facilidad de uso de HTTPS. Si vamos a migrar toda la World Wide Web a HTTPS, entonces no podemos esperar la renovación manual de certificados del administrador de cada sitio existente. Tan pronto como la emisión y renovación de certificados se automatice completamente, la vida útil más corta de los certificados, por el contrario, será más conveniente y práctica.

La encuesta de GlobalSign sobre Habré mostró que el 73.7% de los encuestados "más probable" apoya una reducción en la validez de los certificados.

En cuanto a ocultar la insignia EV para los certificados SSL en la barra de direcciones, el consorcio no votó sobre este tema, porque el tema de la interfaz de usuario del navegador es completamente competencia de los desarrolladores. En septiembre y octubre, se lanzarán nuevas versiones de Chrome 77 y Firefox 70, que privarán a los certificados EV de un lugar especial en la barra de direcciones del navegador. Así es como se ve el cambio en la versión de escritorio de Firefox 70:

Fue:



Será:



Según el especialista en seguridad Troy Hunt, eliminar la información de EV de la barra de direcciones de los navegadores realmente entierra este tipo de certificado .

---