Google, SSL Sertifikalarının Ömrünü Bir Yıla İndirmeyi Planlıyor
Google, SSL sertifikalarının kullanım süresinde bazı değişiklikler yapmayı planlamaktadır. Sertifikalar bu durumda iki yıl yerine sadece bir yıl geçerli olacaktır.
Google'ın çalışanı Ryan Sleevi, fikri bu yıl Haziran ayında CA / B Forumu'nun F2F toplantısında sundu. Bilmeyenler için CA/B Forum temelde tarayıcı satıcıları, işletim sistemi ve sertifika yetkililerinden oluşan bir platformdur. Bu, dijital sertifikaları yöneten endüstri yönergelerini belirlemekten sorumlu resmi olmayan bir gruptur.
Brower Satıcıları Karar Lehinde Oy Verdi
Teklife göre, tüm yeni SSL sertifikaları yaklaşık bir yıl ve bir ay (397 gün) geçerli olacak. Özellikle, mevcut tüm sertifikaların ömrü iki yıldan (825 gün) fazladır. Teklif, tarayıcı üreticilerinin çoğu tarafından desteklendi.
Ancak sertifika yetkilileri karara karşı çıkıyor. Böyle bir fikir ilk kez tartışılmıyor. SSL sertifikaları başlangıçta yaklaşık sekiz yıl süreyle geçerliydi. Artan güvenlik tehditleri, yetkilileri büyük bir direnişin ardından üç yıl sonra iki yıla indirmeye zorladı.
CA / B Forumu, 2017'de sunulan benzer bir teklifi reddetti. Fikir, yaşam süresini bir yıla indirmekti. Sertifika yetkilileri, SSL sertifikalarının ömürlerinin bir kez daha değiştirilmesinin haksız olduğu görüşündedir.
Kısaltılmış Ömür, Güvenlik Avantajları Sunar
CA'lar bu fikre karşı olsalar da, beraberinde tonlarca güvenlik avantajı da getiriyor. Söylemeye gerek yok, uyum kuralları her ay değişiyor. Değişiklik, şirketlerin yeni kurallara geçişini kolaylaştıracak.
Sistemlerini dijital sertifikalar yardımı ile koruyan birçok firma bulunmaktadır. Değişikliğin bu tür binlerce şirket için ek maliyetlere neden olacağı gerçeğini inkar edemeyiz. En önemlisi, kullanım ömrünün kısalmasının bir sonucu olarak boru hattında önemli bir güvenlik geliştirmesi yoktur.
Yine de düzenli olarak kimlik avı saldırıları planlayan tüm kötü niyetli oyuncularla uğraşmaları gerekiyor. Görünür bir avantaj olmadan müşterilerini korumak onlar için gittikçe zorlaşıyor. Tarayıcı satıcıları ve sertifika yetkilileri arasındaki bu savaş yeni bir şey değil. Google'ın çabalarında başarılı olup olmadığını görmek sadece an meselesi.