Максимальный срок действия SSL сертификатов может стать 1 год
В планах у CA/B Forum ограничить максимальный срок действия сертификатов SSL 397ю днями.
В ближайшие дни или недели сотрудник Google объявит на форуме CA/B предложение, которое ограничит максимальный срок действия сертификатов SSL/TLS всего на один год, начиная с марта 2020 года. Это не первый раз, когда эта инициатива появляется в сети, и если это не удастся, это, несомненно, не в последний раз. Итак, сегодня мы поговорим о сроке службы сертификатов и о том, что это объявление CA/B Forum может рассказать нам о направлении, куда движется отрасль.
Максимальный срок действия может стать один год?
Индустрия цифровых сертификатов, по сути, состоит из двух совместных сторон. С одной стороны, у вас есть сообщество браузеров, которое на самом деле должно использовать цифровые сертификаты, поскольку они обслуживают своих клиентов в Интернете. И затем у вас есть центры сертификации, которые отвечают за выдачу этих сертификатов и проверку организаций, которым они их выдают.
Как правило, когда обсуждается такая тема, как сокращение максимальной достоверности цифровых сертификатов, очевидным предположением будет то, что именно CA управляют этим и хотят заработать на этом. Так как короткая продолжительность жизни сертификата означает больше выданных сертификатов. Но это не их идея...
Это исходит из браузеров. И, как мы уже говорили, это не первый раз. Эта мера была впервые введена несколько лет назад и была окончательно побеждена Центрами Сертификации. Вместо этого был достигнут компромисс, и срок действия сертификата был сокращен только до двух лет.
Будет интересно посмотреть, будет ли сообщество СА продолжать сопротивляться этой меры, когда Google озвучит данное решение в ближайшие дни. У нас возникает ощущение, что CA смирились с тем, что в какой-то момент это произойдет. Просто пришло ли время?
В любом случае, эта мера по снижению срока действия сертификатов имеет поддержку основных браузеров Mozilla, Microsoft, Apple и очевидно, Google.
Почему многие в сообществе Информационной безопасности хотят, чтобы срок действия сертификатов был короче?
Речь идет об обеспечении безопасности.
Google рассчитывает, что максимальное количество времени проверенной информации об организации остается "жизнеспособным" в течение нескольких недель, а не месяцев или лет. И это будет одним из наименее рекламируемых выходов из этого решения. В последний раз, когда обсуждались сроки действия сертификата, окончательное решение по валидации было следующим:
«1 марта 2018 года или после этой даты Центр Сертификации получил документ из источника, указанного в разделе 3.2, и установил валидность сертификатов не более, чем 825 дней.»
Новый срок сертификатов будет чуть меньше половины этого:
«1 марта 2020 года или после этой даты Центр Сертификации получит данные или документ из источника, указанного в разделе 3.2, и установит валидность сертификатов уже не более, чем 397 дней.»
Насколько это будет спорным?
В целом, мы выступаем за сокращение сроков службы и, очевидно, поддерживаем повышение безопасности, но здесь нечто большее, чем просто «жизнь» сертификатов.
Фактически, это может снизить эффективность самого Форума CA/B.
Вот почему, если центры сертификации не проголосуют за эту меру безопасности, есть шанс, что браузеры могут действовать в одностороннем порядке и в любом случае просто форсировать изменения. Это не без прецедента, но это также никогда не случалось по вопросу, который традиционно является столь же коллегиальным, как этот.
Если это произойдет, то будет справедливо спросить, в чем вообще смысл CA/B Forum. Потому что в этот момент браузеры в основном будут управлять решениями, а все заседания будут просто "формальностью".
Уже есть слухи о "полезности форумов", особенно когда корневые программы, подобные Mozilla, имеют свои собственные стандарты, не зависящие от базовых требований CA/B Форума.
Теоретически Форум CA/B - отличная идея, но если все собираются делать то, что хотят, то встает вопрос - в чем смысл?
Конечно, это вопрос, который стоит на повестке дня каждого собрания CA/B Форума, и он не является исключительной темой обсуждения действительности сертификатов.