Em 26 de julho de 2019, o Google
apresentou uma proposta para reduzir o período máximo de validade dos certificados SSL / TLS do servidor dos atuais 825 dias para 397 dias (cerca de 13 meses), ou seja, pela metade. O Google acredita que apenas a automação completa de ações com certificados eliminará os problemas de segurança atuais, geralmente explicados pelo fator humano. Portanto, idealmente, você deve se esforçar para a emissão automatizada de certificados de curta duração.
A questão foi submetida a votação pela organização CA / Browser Forum (CABF), que define os requisitos para certificados SSL / TLS, incluindo o período máximo de validade.
E em 10 de setembro, os
resultados foram anunciados : os membros do consórcio votaram
contra a proposta.
Resultados
Voto de editores de certificados
Por (11 votos) : Amazon, Buypass, Certigna (DHIMYOTIS), certSIGN, Sectigo (anteriormente Comodo CA), eMudhra, Kamu SM, Let's Encrypt, Logius, PKIoverheid, SHECA, SSL.com
Contras (20) : Camerfirma, Certum (Asseco), CFCA, Chunghwa Telecom, Comsign, D-TRUST, DarkMatter, Entrust Datacard, Empresa profissional, GDCA, GlobalSign, GoDaddy, Izenpe, Soluções de rede, OATI, SECOM, SwissSign, TWCA, TrustCor , SecureTrust (anteriormente Trustwave)
Abstenção (2) : HARICA, TurkTrust
Votação do Consumidor Certificado
Para (7) : Apple, Cisco, Google, Microsoft, Mozilla, Opera, 360
Contra 0
Abstenção : 0
De acordo com as regras do CA / Browser Forum, para tomar uma decisão positiva, dois terços dos editores de certificados e 50% mais um voto entre os consumidores devem votar a favor.
Os representantes da Digicert
pediram desculpas por terem perdido o voto, onde votariam a favor de diminuir a validade dos certificados. Eles observam que, para alguns clientes, reduzir o período de validade pode ser um problema, mas, a longo prazo, isso oferece benefícios de segurança.
De uma maneira ou de outra, mas o setor ainda não está pronto para reduzir a validade dos certificados e mudar completamente para soluções automatizadas. As próprias autoridades de certificação podem oferecer esses serviços, mas muitos clientes ainda não implementaram a automação. Portanto, a redução do tempo para 397 dias é adiada. Mas a questão permanece em aberto.
Agora, o Google pode tentar implementar a "força" padrão, como foi o caso do protocolo de
transparência de certificados . Além disso, é suportado por outros desenvolvedores: Apple, Microsoft, Mozilla e Opera.
Lembre-se de que a automação total é um dos princípios nos quais o centro de certificação sem fins lucrativos Let's Encrypt se baseia. Emite certificados gratuitos para todos, mas a vida útil máxima do certificado é limitada a 90 dias. A vida útil curta do certificado tem
duas vantagens principais :
- limitar danos causados por chaves comprometidas e certificados emitidos incorretamente, pois são usados por um período mais curto;
- certificados de curta duração oferecem suporte e incentivam a automação, o que é absolutamente essencial para a facilidade de uso do HTTPS. Se vamos migrar toda a World Wide Web para HTTPS, não podemos esperar a renovação manual de certificados do administrador de cada site existente. Assim que a emissão e renovação de certificados se tornar totalmente automatizada, a vida útil mais curta dos certificados, pelo contrário, se tornará mais conveniente e prática.
A pesquisa da GlobalSign sobre Habré mostrou que 73,7% dos entrevistados "mais prováveis" apóiam uma redução na validade dos certificados.
Quanto à ocultação do crachá de EV dos certificados SSL na barra de endereço, o consórcio não votou nessa questão, porque a questão da interface do usuário do navegador é totalmente da competência dos desenvolvedores. Em setembro e outubro, novas versões do Chrome 77 e Firefox 70 serão lançadas, o que privará os certificados EV de um local especial na barra de endereços do navegador. Aqui está a aparência da alteração na versão para desktop do Firefox 70:
Foi:
Será:
De acordo com o especialista em segurança Troy Hunt, a exclusão de informações de EV da barra de endereços dos navegadores
enterra esse tipo de certificado .
