Google intenționează să reducă durata de viață a certificatelor SSL la un an

Certificate SSL

Google intenționează să aducă unele modificări duratei de viață a certificatelor SSL. Certificatele ar fi valabile doar un an, mai degrabă decât doi ani, în acest caz.

Angajatul Google, Ryan Sleevi, a prezentat ideea la o întâlnire F2F a Forumului CA / B, care a avut loc în iunie anul acesta. Pentru cei care nu știu, CA / B Forum este în esență o platformă compusă din furnizori de browsere, sistem de operare și autorități de certificare. Acesta este un grup neoficial care este responsabil pentru stabilirea liniilor directoare din industrie care guvernează certificatele digitale.

Furnizorii Brower au votat în favoarea deciziei

In conformitate cu propunere , toate noile certificate SSL ar fi valabile aproximativ un an și o lună (397 zile). În special, toate certificatele de ieșire au o durată de viață mai mare de doi ani (825 de zile). Propunerea a fost susținută de majoritatea producătorilor de browsere.

Cu toate acestea, autoritățile de certificare sunt împotriva deciziei. Nu este prima dată când o astfel de idee intră în discuție. Certificatele SSL au fost inițial valabile timp de aproximativ opt ani. Amenințările de securitate din ce în ce mai mari au forțat autoritățile să o reducă la trei și apoi la doi ani după o rezistență majoră.

Forumul CA / B a respins o propunere similară care a fost prezentată în 2017. Ideea a fost de a reduce durata de viață la un an. Autoritățile de certificare sunt de părere că este nedrept să se schimbe din nou durata de viață a certificatelor SSL.

Durata redusă de viață oferă beneficii de securitate

Deși CA-urile sunt împotriva ideii, aduce totuși o mulțime de beneficii de securitate. Inutil să spun că regulile de conformitate se schimbă în fiecare lună. Schimbarea ar facilita tranziția companiilor cu noile reguli.

Există multe companii care își protejează sistemele cu ajutorul certificatelor digitale. Nu putem nega faptul că schimbarea ar duce, de asemenea, la costuri suplimentare pentru mii de astfel de companii. Cel mai important, nu există îmbunătățiri majore de securitate în curs de desfășurare ca urmare a duratei de viață reduse.

Încă trebuie să se ocupe de toți actorii rău intenționați care planifică în mod regulat atacuri de phishing. Este din ce în ce mai greu pentru ei să își protejeze clienții fără avantaje vizibile. Acest război între furnizorii de browsere și autoritățile de certificare nu este ceva nou. Este doar o chestiune de timp pentru a vedea dacă Google rămâne cu succes în eforturile sale.