Bodo SSL-certifikati veljavni le leto dni?
Matej Huš
19. avg 2019 ob 22:00:15
Včasih so imeli certifikati SSL, ki se uporabljajo za varovanje prometa prek HTTPS, privzeto osemletno življenjsko dobo. Kasneje se je ta skrčila na pet let in nato na tri in na zadnjega marca lani na dve leti. Proizvajalci brskalnikov si prizadevajo za čim krajšo življenjsko dobo, medtem ko so izdajatelji na drugem bregu. Lanska sprememba je tako kompromis med enoletnimi željami proizvajalcev brskalnikov in vztrajanjem izdajateljev pri treh letih. Poldrugo leto pozneje se vrača ideja o enoletni veljavnosti certifikatov.
Glavni zagovornik je Google, ki se je v preteklosti že neuspešno prizadeval za skrajšanje veljavnosti certifikatov. Sedaj predlaga, da bi ta znašala 397 dni, torej leto in dober mesec dni. O tem predlogu se še ni glasovalo, a je že jasno, da ga izdajatelji certifikatov ne podpirajo. Vidijo ga tudi kot način, kako želi Google na silo doseči to, kar je bilo pred letom dni na glasovanju zavrnjeno. Sprašujejo se, čemu obstaja forum CA/B, če želijo proizvajalci brskalnikov odločati kar sami. To je tudi srž problema, saj so ti v izrazito nadrejenem položaju. Če bodo brskalniki več kot leto dni stare certifikate označevali kot ne-varne, bodo uporabniki slej ko prej prisiljeni naročiti nove.
Argument za skrajšanje veljavnosti je hitrejša odstranitev zlorabljenih in ukradenih certifikatov, ki dandanes pogosto sploh niso preklicali ali pa njihov preklic ne pride na pravi naslov. Toda res je tudi, da večina strani, ki te zlorablja, deluje le kratek čas in želi škodo povzročiti (oziroma zaslužiti) hitro, ne pa z istim certifikatom še leta in leta.