Importante Mundo Tech world

Google quer reduzir o tempo de vida dos certificados HTTPS para um ano a proposta reduziria a vida útil do SSL de 825 dias para 397 dias

O Google quer reduzir a vida útil dos certificados SSL (usados ​​para proteger o tráfego criptografado HTTPS) dos dois anos atuais para pouco mais de um ano. A proposta foi feita por Ryan Sleevi, representante do Google, em uma reunião da F2F do Fórum CA / B em Thessaloniki, na Grécia, em junho. O CA / B Forum é um grupo setorial não oficial formado por autoridades de certificação (CAs, empresas que emitem certificados SSL) e fabricantes de navegadores.

NENHUM VOTO FOI REALIZADO

A proposta de Per Sleevi, a partir de março de 2020, a validade de todos os certificados SSL recentemente emitidos seria de 397 dias (cerca de um ano e um mês) em vez dos atuais 825 dias (cerca de dois anos e três meses). Não houve votação sobre a proposta; no entanto, a maioria dos fornecedores de navegadores expressou seu apoio à nova vida útil do certificado SSL. Por outro lado, as autoridades certificadoras não estavam muito felizes, para dizer o mínimo. Na última década e meia, os fabricantes de navegadores reduziram a vida útil dos certificados SSL, reduzindo-os de oito para cinco anos, depois para três e depois para dois. A última mudança ocorreu em março de 2018, quando os fabricantes de navegadores tentaram reduzir o tempo de vida dos certificados SSL de três para um ano, mas ficaram comprometidos por dois anos após o pushback das autoridades de certificação.

 

Certificado-SSL-para-um-site-ou-Loja-Virtual

Agora, apenas dois anos depois da última alteração, as autoridades certificadoras sentem-se intimidadas pelos fabricantes de navegadores a aceitar seu plano original, independentemente do voto de 2018.

DIGICERT EMPURRA DE VOLTA

Timothy Hollebeek, representante da DigiCert no CA / B Forum, escreveu recentemente um post no blog expressando a posição da empresa sobre a nova proposta, que, sem surpresa, não é a favor do plano do Google. "Então qual é o benefício de segurança proposto que justifica este custo? Está longe de ser claro que existe algum", disse Hollebeek. "Essa alteração não tem nenhum efeito sobre sites maliciosos, que operam por curtos períodos de tempo, de alguns dias a uma semana ou duas no máximo. Depois disso, o domínio foi adicionado a várias listas negras, e o invasor passa para um novo domínio e adquire novos certificados. " O DigiCert exec explica que, em vez disso, essa mudança para uma vida útil menor do certificado SSL criaria mais custos para seus clientes (os usuários / compradores de SSL certs), que agora precisam alocar mais recursos humanos para manter os certificados SSL atualizados ou performining atualizações de manutenção quando uma expira. Além disso, Hollebeek também argumenta que "certificados de vida mais curtos permitem transições mais rápidas quando as regras de conformidade mudam" também não é uma boa razão, porque os padrões não devem mudar tão frequentemente, em primeiro lugar. O problema do "SSL REVOGAÇÃO" Mas em um tópico no Twitter reagindo ao post de Hollebeck, o pesquisador de segurança Scott Helme argumenta que os benefícios de segurança do curto tempo de vida do certificado SSL não têm nada a ver com sites de phishing ou malware, mas sim com o processo de revogação do certificado SSL. Helme afirma que esse processo está quebrado e que certificados SSL ruins continuam vivos por anos depois de serem perdidos e revogados - daí a razão pela qual ele argumentou no início de 2018 que uma vida útil mais curta para certificados SSL resolveria esse problema porque certificados SSL inválidos seria eliminada mais rapidamente. O Sectigo (anteriormente Comodo), a maior autoridade certificadora do mercado, adotou um tom mais positivo em relação à mudança, em comparação com a postura contrária mais agressiva da DigiCert. A empresa aproveitou a oportunidade da potencial mudança para destacar suas ferramentas para automatizar as renovações de certificados SSL, em vez de entrar em uma briga pública com os criadores de navegadores.

NAVEGANTES FAZEM REGRAS

E essa luta entre CAs e fabricantes de navegadores vem acontecendo nas sombras há anos. Como HashedOut, um blog dedicado a notícias relacionadas a HTTPS, aponta que esta proposta é muito mais sobre provar quem controla o cenário HTTPS do que tudo. "Se as CAs votarem essa medida, há uma chance de os navegadores agirem unilateralmente e forçar a mudança de qualquer maneira", disse HashedOut. "Isso não é sem precedente, mas também nunca aconteceu em uma questão que é tradicionalmente tão colegial quanto isso." Se isso acontecer, será justo perguntar qual é o objetivo do Fórum da CA / B. Porque nesse ponto os navegadores estariam basicamente governando por decreto e todo o exercício seria apenas uma farsa. "Enquanto isso, a DigiCert está conduzindo uma pesquisa anônima entre seus clientes para ver como uma redução no tempo de vida do certificado SSL de um ano Se os clientes reclamarem - e você puder ter certeza disso -, o DigiCert provavelmente usará os resultados da pesquisa para pressionar contra a proposta do Google.