Google planlægger at reducere levetiden for SSL-certifikater til et år

Google planlægger at foretage nogle ændringer i SSL-certifikaternes levetid. Certifikaterne ville i så fald kun være gyldige i et år i stedet for to år.

Googles medarbejder Ryan Sleevi præsenterede ideen på et CA / B Forums F2F-møde, der blev afholdt i juni i år. For dem, der ikke ved, er CA / B Forum dybest set en platform, der består af browserudbydere, operativsystem og certifikatmyndigheder. Dette er en uofficiel gruppe, der er ansvarlig for at etablere branchens retningslinjer, der styrer digitale certifikater.

Brower-leverandører stemte til fordel for beslutningen

I henhold til forslaget ville alle de nye SSL-certifikater være gyldige i omkring et år og en måned (397 dage). Især har alle spændende certifikater en levetid på mere end to år (825 dage). Forslaget blev støttet af et flertal af browserproducenter. 

Certifikatmyndighederne er dog imod beslutningen. Det er ikke første gang, at en sådan idé kommer til diskussion. SSL-certifikaterne var oprindeligt gyldige i omkring otte år. De stigende sikkerhedstrusler tvang myndighederne til at skære den ned til tre og derefter to år efter en stor modstand.

CA / B-forummet afviste et lignende forslag, der blev præsenteret tilbage i 2017. Ideen var at reducere levetiden til et år. Certifikatmyndighederne er af den opfattelse, at det er uretfærdigt at ændre SSL-certifikaternes levetid igen.

Den reducerede levetid tilbyder sikkerhedsfordele

Selvom CA'er er imod ideen, bringer det dog masser af sikkerhedsfordele sammen med det. Det er overflødigt at sige, at reglerne for overholdelse ændres hver måned. Ændringen ville gøre det lettere for virksomhederne at overgå med de nye regler.

Der er mange virksomheder, der beskytter deres systemer ved hjælp af digitale certifikater. Vi kan ikke benægte det faktum, at ændringen også ville medføre ekstra omkostninger for tusinder af sådanne virksomheder. Vigtigst er det, at der ikke er nogen større sikkerhedsforbedringer på vej som følge af den reducerede levetid.

De har stadig brug for at beskæftige sig med alle de ondsindede aktører, der regelmæssigt planlægger phishing-angreb. Det bliver sværere og sværere for dem at beskytte deres kunder uden nogen synlige fordele. Denne krig mellem browserudbydere og certifikatmyndigheder er ikke noget nyt. Det er bare et spørgsmål om tid til at se, om Google fortsat har succes i sin indsats.

Facebook Twitter Google Plus Pinterest