Google пропонує зменшити термін дії SSL-сертифікатів, а сертифікати EV взагалі поховати

Компанія Google виступила з пропозицією зменшити максимальний термін дії серверних сертифікатів SSL / TLS з нинішніх 825 днів (приблизно 27 місяців) до 397 днів (близько 13 місяців), тобто приблизно вдвічі.

Google пропонує поставити це питання на голосування в організації CA / Browser Forum (CABF), яка встановлює вимоги до SSL / TLS-сертифікатів, в тому числі до максимального терміну дії. Якщо члени CABF проголосують за цю пропозицію, то зміна буде застосовуватися до всіх нових сертифікатами, виданих 1 березня 2020 року або після цієї дати.

Крім того, у вересні-жовтні вийдуть нові версії Chrome 77 і Firefox 70, які позбавлять EV-сертифікати особливого місця в адресному рядку браузера.

Навіщо скорочувати термін дії сертифікатів?

Раніше Google заявляла, що прагне скоротити максимальний термін дії SSL-сертифікатів до цільового показника в 90 днів. Таке скорочення зажадає від власників веб-сайтів повної автоматизації видачі, переоформлення та продовження сертифікатів. Нинішнє скорочення максимального терміну – крок в цьому напрямку.

Google вважає, що тільки повна автоматизація дій з сертифікатами дозволить позбутися нинішніх проблем з безпекою, які часто пояснюються людським фактором, наприклад, адміністратори забувають продовжувати сертифікати.

Повна автоматизація – один з принципів на якому заснована робота некомерційного центру сертифікації Let’s Encrypt. Він видає безкоштовні сертифікати всім бажаючим, але максимальний термін життя сертифіката обмежений 90 днями. Короткі часи життя сертифікатів мають дві головні переваги:

  • обмеження збитку від компрометованих ключів і невірно випущених сертифікатів, так як вони використовуються на меншому проміжку часу;
  • короткоживучі сертифікати підтримують і заохочують автоматизацію, яка абсолютно необхідна для простоти використання HTTPS. Якщо ми збираємося переміщувати всю Всесвітню павутину на HTTPS, то не можна очікувати ручного поновлення сертифікатів від адміністратора кожного існуючого сайту. Як тільки випуск і поновлення сертифікатів стане повністю автоматизованим, коротші часи життя сертифікатів навпаки стануть більш зручними і практичними.

Google підтримує таку позицію і дає зрозуміти: навіть якщо голосування CABF не прийме запропоновані зміни, компанія має намір реалізувати їх де-факто в браузері. Цілком ймовірно, що Chrome не братиме сертифікати з терміном дії більше 13 місяців. Раніше компанія вже продемонструвала подібний приклад «насадження» стандартів, запровадивши протокол Certificate Transparency.

Якщо таке станеться, то засвідчуючи центри можуть продовжувати видачу 825-денних SSL-сертифікатів, які сумісні зі стандартом і будуть прийматися у всіх браузерах, крім Chrome.

Напевно, не всі власники доменів ще готові до впровадження 90-денних сертифікатів, тому Google діє поступово. Зменшення терміну дії з 825 до 397 днів – ймовірно, тільки початок.

Ви можете залишити свій голос за чи проти пропонованих змін в опитуванні за посиланням: https://www.surveymonkey.co.uk/r/SZ56V83

Приховування EV-сертифікатів

Крім скорочення часу життя сертифікатів, Google вводить ще одну зміну, яка стосується сертифікатів EV (Extended Validation). Починаючи з версії Chrome 77 в вересні 2019 року EV-сертифікати позбавлять додаткового місця в адресному рядку браузера для відображення інформації про компанії. Схоже зміна планується в десктопній версії Firefox 70, яка вийде в жовтні 2019 року.

було:

буде:

Додаткова інформація про власника сертифіката EV буде виводитися після натискання на піктограму з замочком, але не в адресному рядку.

Фахівці з дизайну інтерфейсів і безпеки (група Chrome Security UX) дійшли висновку, що «EV UI не забезпечує захист користувачів належним чином». Іншими словами, користувачі не звертають уваги на інформацію з EV-сертифікатів. В результаті ряд найбільших сайтів інтернету їх взагалі не використовує, включаючи Google, YouTube, Twitter і Facebook.

Google відзначає, що «значок EV займає цінний простір екрану, може показувати підроблені назви компаній в інтерфейсі і заважає Chrome рухатися до нейтральної, а не позитивної індикації захищених з’єднань».

За логікою фахівців Chrome Security UX, рядок з EV-сертифікатом – це позитивна індикація TLS, в той час як більш дієвою з точки зору впливу на користувачів є нейтральна індикація. Тому в перспективі сайти з HTTPS будуть позбавлені піктограми «замочка», а для сайтів без HTTPS буде відображатися попередження безпеки. Це підштовхне всі сайти до установки SSL-сертифікатів.

На думку фахівця з безпеки Троя Ханта, видалення інформації EV з адресного рядка браузерів фактично ховає даний тип сертифікатів.

Джерело: habr.com