Pada tanggal 26 Juli 2019, Google membuat proposal untuk mengurangi masa berlaku maksimum sertifikat server SSL / TLS dari 825 hari saat ini menjadi 397 hari (sekitar 13 bulan), yaitu sekitar setengahnya. Google percaya bahwa hanya tindakan otomatis penuh dengan sertifikat yang akan menghilangkan masalah keamanan saat ini, yang sering dijelaskan oleh faktor manusia. Karena itu, idealnya, Anda harus berusaha keras untuk penerbitan sertifikat berumur pendek secara otomatis.

Pertanyaan diajukan ke pemungutan suara oleh organisasi CA / Browser Forum (CABF), yang menetapkan persyaratan untuk sertifikat SSL / TLS, termasuk periode validitas maksimum.

Dan pada 10 September, hasilnya diumumkan : anggota konsorsium memberikan suara menentang proposal tersebut.

Hasil

Vote Penerbit Sertifikat

Untuk (11 suara) : Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (sebelumnya Comodo CA), eMudhra, Kamu SM, Mari Enkripsi, Logius, PKIoverheid, SHECA, SSL.com

Cons (20) : Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrac Datacard, Firmaprofesional, GDCA, GlobalSign, GoDaddy, Izenpe, Solusi Jaringan, OATI, SECOM, SwissSign, TWCA, TrustCor , SecureTrust (sebelumnya Trustwave)

Golput (2) : HARICA, TurkTrust

Voting Konsumen Sertifikat

Untuk (7) : Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360

Terhadap : 0

Golput : 0

Menurut aturan CA / Browser Forum, untuk membuat keputusan positif, dua pertiga penerbit sertifikat dan 50% plus satu suara di antara konsumen harus memilihnya.

Perwakilan Digicert meminta maaf karena tidak memberikan suara, di mana mereka akan memilih untuk memperpendek validitas sertifikat. Mereka mencatat bahwa bagi beberapa pelanggan, memperpendek masa berlaku dapat menjadi masalah, tetapi dalam jangka panjang ini memberikan manfaat keamanan.

Salah satu caranya, tetapi industri belum siap untuk mempersingkat validitas sertifikat dan sepenuhnya beralih ke solusi otomatis. Otoritas sertifikasi sendiri dapat menawarkan layanan seperti itu, tetapi banyak pelanggan belum menerapkan otomatisasi. Karenanya, pengurangan waktu menjadi 397 hari ditunda. Namun pertanyaannya tetap terbuka.

Sekarang Google dapat mencoba menerapkan standar "force", seperti halnya dengan protokol Transparansi Sertifikat . Selain itu, didukung oleh pengembang lain: Apple, Microsoft, Mozilla dan Opera.

Ingat bahwa otomatisasi penuh adalah salah satu prinsip yang menjadi dasar pusat sertifikasi nirlaba Let's Encrypt. Ini mengeluarkan sertifikat gratis untuk semua orang, tetapi masa berlaku sertifikat maksimum terbatas hingga 90 hari. Masa sertifikat pendek memiliki dua keunggulan utama :

1. membatasi kerusakan dari kunci yang dikompromikan dan sertifikat yang dikeluarkan secara salah, karena digunakan untuk periode waktu yang lebih singkat;
   
2. sertifikat berumur pendek mendukung dan mendorong otomatisasi, yang sangat penting untuk kemudahan penggunaan HTTPS. Jika kami akan memigrasi seluruh World Wide Web ke HTTPS, maka kami tidak dapat mengharapkan pembaruan manual sertifikat dari administrator setiap situs yang ada. Segera setelah penerbitan dan pembaruan sertifikat sepenuhnya otomatis, masa berlaku sertifikat yang lebih pendek, sebaliknya, akan menjadi lebih mudah dan praktis.

Jajak pendapat GlobalSign tentang Habré menunjukkan bahwa 73,7% responden "lebih mungkin" mendukung pengurangan validitas sertifikat.

Sedangkan untuk menyembunyikan lencana EV untuk sertifikat SSL di bilah alamat, konsorsium tidak memberikan suara untuk masalah ini, karena masalah UI browser sepenuhnya dalam kompetensi pengembang. Pada bulan September-Oktober, versi baru Chrome 77 dan Firefox 70 akan dirilis, yang akan menghilangkan sertifikat EV dari tempat khusus di bilah alamat browser. Berikut adalah perubahan yang terlihat pada versi desktop Firefox 70:

Itu:



Akan:



Menurut spesialis keamanan Troy Hunt, menghapus informasi EV dari bilah alamat peramban sebenarnya mengubur sertifikat jenis ini .

---