في 26 تموز (يوليو) 2019 ، قدمت Google اقتراحًا لتخفيض الحد الأقصى لفترة صلاحية شهادات SSL / TLS للخادم من 825 يومًا حاليًا إلى 397 يومًا (حوالي 13 شهرًا) ، أي بمقدار النصف تقريبًا. تعتقد Google أن الأتمتة الكاملة لإجراءات إصدار الشهادات فقط هي التي ستتخلص من مشكلات الأمان الحالية ، والتي يفسرها العامل البشري غالبًا. لذلك ، من الناحية المثالية ، يجب أن تسعى جاهدة لإصدار شهادات قصيرة الأجل الآلي.

تم طرح السؤال للتصويت من قبل منظمة CA / Browser Forum (CABF) ، والتي تحدد متطلبات شهادات SSL / TLS ، بما في ذلك فترة الصلاحية القصوى.

وفي 10 سبتمبر ، تم إعلان النتائج : صوت أعضاء الكونسورتيوم ضد الاقتراح.

النتائج

الناشرين شهادة التصويت

لـ (11 صوتًا) : Amazon ، Buypass ، Certigna (DHIMYOTIS) ، certSIGN ، Sectigo (Comodo CA سابقًا) ، eMudhra ، Kamu SM ، دعونا نتشفّر ، Logius ، PKIoverheid ، SHECA ، SSL.com

السلبيات (20) : Camerfirma، Certum (Asseco)، CFCA، Chunghwa Telecom، Comsign، D-TRUST، DarkMatter، Entrust Datacard، Firmaprofesional، GDCA، GlobalSign، GoDaddy، Izenpe، Network Solutions، OATI، SECOM، SwissSign، TWCA و SecureTrust (Trustwave سابقًا)

الممتنعون (2) : هاريكا ، TurkTrust

شهادة التصويت المستهلك

لـ (7) : Apple و Cisco و Google و Microsoft و Mozilla و Opera و 360

ضد : 0

الممتنعون : 0

وفقًا لقواعد منتدى CA / Browser ، لاتخاذ قرار إيجابي ، يجب على ثلثي ناشري الشهادات و 50٪ بالإضافة إلى صوت واحد بين المستهلكين التصويت لصالحه.

اعتذر ممثلو Digicert عن التصويت ، حيث سيصوتون لصالح تقصير صلاحية الشهادات. يلاحظون أنه بالنسبة لبعض العملاء ، قد يكون تقصير فترة صلاحيتهم مشكلة ، ولكن هذا على المدى الطويل يوفر مزايا أمنية.

بطريقة أو بأخرى ، لكن الصناعة ليست جاهزة بعد لتقصير صلاحية الشهادات والتحول إلى حلول آلية تمامًا. يمكن لسلطات التصديق نفسها تقديم مثل هذه الخدمات ، لكن العديد من العملاء لم يطبقوا الأتمتة بعد. لذلك ، تم تأجيل تقليل الوقت إلى 397 يومًا. ولكن يبقى السؤال مفتوحا.

بإمكان Google الآن محاولة تطبيق "القوة" القياسية ، كما كان الحال مع بروتوكول شفافية الشهادة . علاوة على ذلك ، يتم دعمه بواسطة مطورين آخرين: Apple و Microsoft و Mozilla و Opera.

تذكر أن الأتمتة الكاملة هي أحد المبادئ التي يقوم عليها مركز الشهادات غير الربحية Let's Encrypt. تصدر شهادات مجانية للجميع ، ولكن الحد الأقصى لعمر الشهادة محدود بـ 90 يومًا. عمر الشهادة القصير له ميزتان رئيسيتان :

1. الحد من الضرر الناجم عن المفاتيح المعرضة للخطر والشهادات الصادرة بطريقة غير صحيحة ، حيث يتم استخدامها لفترة زمنية قصيرة ؛
   
2. شهادات قصيرة الأجل تدعم وتشجع الأتمتة ، وهو أمر ضروري للغاية لسهولة استخدام HTTPS. إذا كنا سننقل شبكة الويب العالمية بالكامل إلى HTTPS ، فلا يمكننا أن نتوقع التجديد اليدوي للشهادات من المسؤول عن كل موقع موجود. بمجرد أن يصبح إصدار الشهادات وتجديدها مؤتمتًا بالكامل ، يصبح العمر الأقصر للشهادات على العكس أكثر ملاءمة وعمليًا.

أظهر استطلاع GlobalSign على Habré أن 73.7٪ من المستطلعين "على الأرجح" يؤيدون تقليل صلاحية الشهادات.

بالنسبة لإخفاء شارة EV لشهادات طبقة المقابس الآمنة في شريط العناوين ، لم يصوت الكونسورتيوم بشأن هذه المشكلة ، لأن مسألة واجهة المستخدم الخاصة بالمتصفح هي بالكامل في اختصاص المطورين. في الفترة من سبتمبر إلى أكتوبر ، سيتم إصدار إصدارات جديدة من Chrome 77 و Firefox 70 ، مما يحرم شهادات EV من مكان خاص في شريط العناوين في المتصفح. إليك ما يبدو عليه التغيير في إصدار سطح المكتب من Firefox 70:

كان:



سوف يكون:



وفقًا للأخصائي الأمني ​​Troy Hunt ، فإن حذف معلومات EV من شريط عناوين المتصفحات يدفن بالفعل هذا النوع من الشهادة .

---