Важливе оновлення: пропозиція форуму CA/B скоротити максимальний термін дії SSL сертифіката до 13 місяців

Опитування щодо пропозиції, що було висунуто на форумі CA/Browser, яка може вплинути на SSL сертифікати, які ви використовуєте.

Нещодавно компанією Google було запропоновано зміни, які, якщо за них проголосує більшість на форумі CA/Browser, призведуть до скорочення терміну дії сертифікатів з поточних максимум 2-х років до 13 місяців.

Будь ласка, висловіть свою думку стосовно пропозиції скоротити загальний термін дії сертифікатів сервера TLS / SSL. Ваш вклад в обговорення дуже важлий і може вплинути на ситуацію.

*Це опитування є анонімним. Результати опитування буде узагальнено та надано Форуму компанією Digicert Оригінал статті тут >>>

1. Країна

2. Скільки працівників в вашій компанії

3. Сфера діфльності компанії

Інше

4. Ваша посада в компанії

Інше

5. Ваш напрямок діяльності в компанії

Інше

6. Ваша думка щодо пропозиції скоротити максимальний термін діх сертифікатів SSL / TLS з поточних 825 днів (27 місяців) до 397 днів (13 месяців)?

Почему?

7. Яким чином може влинути на Вашу діяльність прийняття форумом CA / Browser Forum рішення про скорочення максимального терміну дії сертифіката сервера SSL / TLS з поточних 825 днів (27 місяців) до 397 днів (13 месяців) для нових сертифікатів, що було видано/перевидано 1 березня 2020 року або після цієї дати? (Існуючі SSL сертифікати будуть валідні протягом всього періоду їх терміну діяльності за умови що їх не буле перевидано (оновлено) від дати 01.03.20 включно).

8. Згідно пропозиції, яку буде обговорено на форумі,, организація та її домени повинні проходити повторну перевірку кожен рік, а не кожні два роки. Як Ви вважаєте, чи вартує, забезпечений шляхом щорічної перевірки інформації про компанію, додатковий захист користувачів витрат компанії на проведення такої перевірки та підтвердження?
Коментар (бажано англійською мовою)

9. Чи є у вас іншні коментарі або додаткова інформація, яку б ви хотіли донести до CA / Browser Forum? (бажано англійською мовою)

Нова пропозиця в CA/B Forum стосовно скорочення терміну дії SSL сертификатів: чи покращиться безпека?

Наразі обговорюється нова пропозиція CA / Browser Forum скоротити максимальний термін дії SSL сертифікатів до 13 місяців. Це відбувається після того, як термін служби був скорочений з 39 до 27 місяців, починаючи з березня 2018 року. Якщо він буде прийнятий, ці зміни вступлять в силу в березні 2020 року. У цьому блозі аналізуються переваги цієї пропозиції і порівняння пропонованого переваги в плані безпеки з впливом на користувачів сертифікатів

Чи однорічні сертифікати більш безпечні?
Протягом багатьох років термін дії сертифікатів, які захищають веб-сайти, становив не більше трьох років. Ці сертифікати були випущені тільки після ретельної перевірки всієї інформації, яка містилася в сертифікаті, і могли бути відкликані, якщо інформація більше не дійсна. Після довгих обговорень цей термін SSL було зменшено до 2 років максимум. Пр цьому для CodeSign максимальний термін дії залишився 3 роки.

Спробу скоротити термін дії сертифікатів до одного року було розглянуто, але відхилено на форумі CA / B. Тепер її буде переглянуто. Що стоїть за цими пропозиціями, і чи дійсно їх впровадження вплине на підвищення безпеки цифрових SSL сертифікатів?

Захист інтернет-трафіка
У сучасній мережі Інтернет цифрові сертифікати необхідні для захисту трафіку на веб-сайти і з веб-сайтів, в тому числі найбільш цінних. Ці повідомлення можуть включати в себе всі види конфіденційної інформації, включаючи інформацію про оплату, паролі, захищену медичну інформацію, комерційну таємницю та іншу конфіденційну інформацію, пов'язану з роботою. Ці веб-сайти повинні захищати три стовпи інформаційної безпеки: конфіденційність, цілісність і доступність. Всі повідомлення повинні бути зашифровані, без можливості їх зміни і без простоїв.

Щоб гарантувати це, адміністратори таких сайтів строго контролюють, коли і як їх сервери можуть бути змінені, і яке програмне забезпечення може працювати на їх серверах. У багатьох випадках, особливо у фінансовій сфері і сфері охорони здоров'я, існують суворі вимоги аудиту та відповідності, які регулюють ці процедури управління змінами.

Перехід на більш короткі терміни дії сертифікатів, особливо менш одного року, як передбачалося, може статися в найближчому майбутньому, вимагає значних витрат. Кожну зміну має бути ретельно перевірено, щоб переконатися, що її було зроблено правильно і вона не робить негативного впливу на безпеку системи. Внесення таких змін в автоматичному режимі є привабливим, але значно збільшує складність таких систем і збільшує ймовірність атаки, які вводять нові програмні агенти в критичні системи. Гірше того, ці програмні агенти підключаються до Інтернету і завантажують сертифікати безпосередньо в системи з високим рівнем довіри. Необхідно дотримуватися обережності, щоб переконатися, що це не вплине негативним чином на безпеку системи.

Ми вважаємо, що мета підвищення безпеки сертифікатів краще досягається за рахунок того, що у компаній з'являється більше часу для подальшого використання автоматизації, тестування своїх систем і підготовки до цих змін. Основним моментом є те, що будь-яка перевага, пов'язана зі скороченням терміну служби сертифікатів, є теоретичною, в той час як ризики і витрати на внесення змін, особливо в короткі терміни, реальні.

Пропоновані переваги безпеки
Чи справды запропонована перевага безпеки виправдовує цю вартість? Далеко не зрозумыло, чи вона є взагалі. Ця зміна абсолютно не впливає на шкідливі веб-сайти, які працюють протягом дуже коротких періодів часу, максимум від декількох днів до тижня або двох. Після того як домен був доданий в різні чорні списки зловмисник переходить на новий домен і отримує нові сертифікати.

Інша перевага, яку іноді називають, полягає в тому, що більш короткі сертифікати терміну служби дозволяють швидше переходити при зміні правил відповідності. Термін дії дворічних сертифікатів означає, що сертифікати, видані сьогодні, будуть актуальні протягом двох років. Але хіба не відповідальність тих, хто управляє екосистемою сертифікатів, розробляти правила відповідності, які можуть зберігатися як мінімум так довго? Постійна зміна правил видачі сертифікатів з невеликим часом виконання замовлення не дає тим, хто розгортає або покладається на сертифікати, достатній час для того, щоб дізнатися про зміни, проаналізувати їх і визначити вплив на їх системи, а також підготуватися до адекватного відновлення своїх систем, включаючи дотримання всіх інших нормативних вимог.

Також важливо відзначити, що ця зміна застосовується до всіх компаній, незалежно від їх ситуації, у відносно короткий термін. Такі термінові рішення призводять до ризику відволікання ресурсів від інших, більш важливих поліпшень безпеки, які відбуваються в багатьох компаніях.

Сутність
Швидке скорочення терміну служби сертифікатів до одного року або навіть менше призводить до значних витрат для багатьох компаній, які використовують цифрові сертифікати для захисту своїх систем. Ці витрати не компенсуються яким-небудь істотним поліпшенням безпеки, і ці зміни не впливають на поганих гравців, які займаються незаконною діяльністю або видають себе за законні компанії. Ці зміни значно ускладнюють для багатьох компаній захист інтернет-трафіку і клієнтів без будь-якої вигоди, і тому у DigiCert немає іншого вибору, крім як протистояти цим змінам.

Тімоті Холлебек
Тімоті Холлебек має більш ніж 15-річний досвід роботи в області комп'ютерної безпеки, в тому числі вісім років, працюючи над інноваційними дослідженнями в області безпеки, що фінансуються Агентством перспективних дослідницьких проектів в області оборони. Він як і раніше активно бере участь в якості основного представника DigiCert в багатьох органах галузевих стандартів, включаючи CA / Browser Forum, прагнучи до вдосконалення методів захисту інформації, які працюють з реальними проектами. Тім за професією математик, багато часу приділяє розгляду підходів до безпеки в квантових обчисленнях.