Zmiany postulowane przez Ryana Sleevi z Google na CA/B Forum w Tesalonikach w Grecji zakładają skrócenie ważności certyfikatów z 825 do 397 dni. Zmiany miałyby zostać wprowadzone już w marcu 2020 roku. Większość producentów przeglądarek internetowych wyraziła już wsparcie dla postulatu. Niezadowolone są natomiast podmioty certyfikujące.
Na przestrzeni ostatnich lat ważność certyfikatów była redukowana z ośmiu do pięciu lat, następnie do trzech i do dwóch. Wedle nowych postanowień certyfikaty byłyby ważne zaledwie przez rok i jeden miesiąc. Ostatnie zmiany miały miejsce w marcu 2018, kiedy to postulowano roczną ważność certyfikatów, ale ostatecznie ustalono ją na poziomie 2 lat. Przedstawiciele podmiotów certyfikujących czują się oszukani zeszłorocznym porozumieniem, które może się okazać niezwykle krótkotrwałe.
„Jakie dokładnie są benefity płynące z tak znaczącego skrócenia ważności certyfikatów i w jaki sposób usprawiedliwiają konieczność ponoszenia zwiększonych kosztów?”, pyta Timothy Hollebeek z DigiCert. „Zmiana nie będzie miała najmniejszego wpływu na szkodliwe strony, które działają niezmiernie krótko – kilka dni, czasem dwa tygodnie. Po tym czasie domena jest czarnolistowana, a cyberprzestępca zaczyna korzystać z kolejnej, z nowymi certyfikatami.”
Z Holebeekiem polemizuje ekspert ds. bezpieczeństwa Scott Helme. Uważa on, że skrócenie okresu ważności poprawi nieco sytuację z unieważnianiem certyfikatów, które obecnie często istnieją nawet po ich odwołaniu.
Sad to see @digicert doubling down on their fight against shorter certificates. The information contained in the post is also questionable… https://t.co/vSVs2KCQgO
— Scott Helme (@Scott_Helme) August 14, 2019
Długi okres walidacji certyfikatu często prowadzi do sytuacji w której ma on nieaktualne dane podmiotu, dla którego go wydano, może być błędnie wyświetlany lub błędnie rozpoznawany przez przeglądarkę po jego odwołaniu. Po zmianie algorytmów szyfrowania często okazuje się też, że certyfikaty nie są dostatecznie bezpieczne.
Kto ma rację? Prawda leży zapewne po środku, a punkt widzenia – jak zawsze w takich sytuacjach – zależy od punktu siedzenia. Czy Waszym zdaniem skrócenie okresu walidacji certyfikatów to dobry ruch?
Źródło: ZDNet