Google planlegger å kutte levetiden til SSL-sertifikater til ett år

Google planlegger å gjøre noen endringer i levetiden til SSL-sertifikater. Sertifikatene vil i så fall være gyldige bare ett år i stedet for to år.

Googles ansatt Ryan Sleevi presenterte ideen på et CA / B Forums F2F-møte som ble holdt i juni i år. For de som ikke vet, er CA / B Forum i utgangspunktet en plattform som består av nettleserleverandører, operativsystem og sertifikatmyndigheter. Dette er en uoffisiell gruppe som har ansvar for å etablere bransjeretningslinjer som styrer digitale sertifikater.

Brower-leverandører stemte til fordel for avgjørelsen

I følge forslaget vil alle de nye SSL-sertifikatene være gyldige i rundt ett år og en måned (397 dager). Spesielt har alle spennende sertifikater en levetid på mer enn to år (825 dager). Forslaget ble støttet av et flertall av nettleserprodusenter. 

Sertifikatmyndighetene er imidlertid imot avgjørelsen. Det er ikke første gang en slik idé kommer under diskusjon. SSL-sertifikatene var opprinnelig gyldige i rundt åtte år. De økende sikkerhetstruslene tvang myndighetene til å kutte den til tre og deretter to år etter en stor motstand.

CA / B Forum avviste et lignende forslag som ble presentert tilbake i 2017. Tanken var å redusere levetiden til ett år. Sertifikatmyndighetene er av den oppfatning at det er urettferdig å endre levetiden til SSL-sertifikater igjen.

Den reduserte levetiden gir sikkerhetsfordeler

Selv om sertifiseringsinstansene er imot ideen, gir det imidlertid mange sikkerhetsfordeler. Unødvendig å si, overholdelsesregler endres hver måned. Endringen vil gjøre det lettere for bedrifter å overgå med de nye reglene.

Det er mange selskaper som beskytter systemene sine ved hjelp av digitale sertifikater. Vi kan ikke benekte det faktum at endringen også vil føre til merkostnader for tusenvis av slike selskaper. Viktigst, ingen større sikkerhetsforbedringer er i røret som et resultat av redusert levetid.

De trenger fortsatt å håndtere alle ondsinnede aktører som regelmessig planlegger phishing-angrep. Det blir vanskeligere og vanskeligere for dem å beskytte kundene sine uten noen synlige fordeler. Denne krigen mellom nettleserleverandører og sertifikatmyndigheter er ikke noe nytt. Det er bare et spørsmål om tid å se om Google fortsatt lykkes i arbeidet.

Facebook Twitter Google Plus Pinterest