Google wil de looptijd van TLS-certificaten verkorten
De lange geldigheidsduur van digitale certificaten voor webservers is Google een doorn in het oog. Daarom stelt Mountain View Internet Corporation voor om de maximale levensduur van een TLS-servercertificaat te beperken tot maximaal 90 dagen. Dit betekent een aanzienlijke daling ten opzichte van het maximum van 398 dagen dat momenteel is vastgesteld door de basisvereisten van het CA/Browser Forum.
Het ontbreken van een blokkeringsmogelijkheid als reden
Californiërs rechtvaardigen hun suggestie met één Blogartikel over het Chromium-project Met de dringende noodzaak om over te stappen van foutgevoelige handmatige certificeringsprocessen naar volledig geautomatiseerde certificaatuitgifte. Maar Chromium-ontwikkelaars wijzen ook op nog steeds onvoldoende mechanismen voor het blokkeren van certificaten – noch oorspronkelijk geïntroduceerde blokkeerlijsten (CRL’s) noch OCSP zijn volledig effectief – als reden voor hun verzoek.
Naast de kortere vervaldata wil Google nog andere wijzigingen aanbrengen in het CA-ecosysteem. In de toekomst zouden certificeringsinstanties zich moeten concentreren op het uitgeven van één type certificaat – momenteel worden naast TLS-servercertificaten vaak ook certificaten voor programma’s voor digitale handtekeningen uitgegeven door dezelfde certificeringsinstantie. Deze omstandigheid maakt certificeringsinstanties dubbel aantrekkelijk voor aanvallers zoals malwarebendes.
Laten we coderen als een leider
Geautomatiseerde uitgifte van certificaten werd op grote schaal geïntroduceerd door Let’s Encrypt en is nu meer dan 3 miljard keer met succes geïmplementeerd. Google zou het basis-ACME-protocol in de toekomst een verplicht programma voor CA’s willen maken. Volgens de auteurs van de blogpost zou dit het hele ecosysteem wendbaarder en veerkrachtiger moeten maken.
Commerciële CA’s, waarvan het bedrijfsmodel is gebaseerd op het uitgeven van digitale certificaten, mogen niet worden overweldigd door een betaling door Mountain View. Hiermee is de laatste reden weggenomen om een door hen afgegeven certificaat te verkrijgen. Google en Mozilla hebben het bedrijf al geruïneerd met kostbare uitgebreide verificatie door niet te certificeren dat ze bijzonder veilig zijn.
Maar de Chrome-browser van Google heeft een marktaandeel van meer dan 65 procent en veel andere browsers zoals Edge, Samsung Internet en Opera zijn gebaseerd op het Chromium-project. Met zo’n geconcentreerde marktmacht is de stem van Google in het CA/Browser-forum erg belangrijk en er kan van worden uitgegaan dat andere fabrikanten het initiatief zullen steunen.
(Ja)
“Coffee fanatic. Gamer. Award-winning zombie aficionado. College student. Hardcore internet proponent. Twitter guru. Subtly charming bacon nerd. Thinker.”