Google планирует сократить срок жизни SSL-сертификатов в два раза
Предложение представителя компании Google уменьшить срок действия SSL-подписей вызвало неоднозначную реакцию у представителей удостоверяющих центров. Некоторые компании высказались категорически против такого решения, в то время как другие участники рынка заняли конструктивную позицию, представив своим клиентам решения для автоматического продления HTTPS-аккаунтов. Представитель Google Райан Сливи (Ryan Sleevi) внес предложение сократить срок годности цифровых подписей на встрече группы CA/B Forum, которая состоялась в июне этого года. Эксперты американской компании считают, что необходимо снизить период действия SSL-сертификатов с 825 до 397 дней, и заручились в этом вопросе поддержкой большинства производителей браузеров. Кто не готов уменьшить сроки действия SSL-сертификатов Голосование по предложению Сливи еще не проводилось, однако представители компании DigiCert скептически отнеслись к его инициативе. Как заявил сотрудник компании Тимоти Холлебик (Timothy Hollebeek), такое решение не приведет к росту безопасности в Интернете, поскольку вредоносные ресурсы меняют SSL-подписи гораздо быстрее, получая новый сертификат сразу после того, как прежний заблокируют. По мнению представителей DigiCert, идея Google приведет лишь к необоснованному росту расходов пользователей. Лидер мирового рынка удостоверений безопасности, компания Sectigo, не поддержала коллег и акцентировала внимание клиентов на своей системе управления цифровыми сертификатами, позволяющей автоматизировать операции продления. Как отметили специалисты ресурса HashedOut, принадлежащего компании SSL Store, принятие предложения Google может создать опасный прецедент, который позволит разработчикам браузеров в дальнейшем диктовать свою позицию центрам сертификации. В последний раз срок действия цифровых подписей снизили в марте 2018-го до двух лет и трех месяцев. Тогда создатели браузеров уже предлагали перевыпускать удостоверения для сайтов раз в год, но были вынуждены смягчить свои требования под давлением центров сертификации. Эксперты связывают это с возросшим предложением бесплатных SSL-сертификатов, а также увеличением количества взломанных ресурсов с действующими удостоверениями безопасности.Threatpost
Эта новость в СМИ