Google quiere extender la vida útil de los certificados HTTPS a un año

Recientemente, la relación entre las empresas emisoras de certificados SSL y los fabricantes de navegadores ha sido bastante tensa, y esta tensión parece haber llegado a su punto máximo con la propuesta de Google de acortar la fecha de caducidad de los certificados SSL.

Google quiere reducir la vida útil del certificado SSL utilizado para proteger el tráfico cifrado HTTPS de dos años a un año. La persona que hizo la oferta fue Ryan Sleevi, quien asistió a la reunión F2F en el Foro CA/B en Grecia como representante de Google.

CA: Empresas que distribuyen certificados SSL.

B: fabricantes de escáneres.

votos

Según la propuesta de Sleevi, que comenzará en marzo de 2020, la vida útil del certificado SSL será de 397 días (1 año 1 mes) en lugar de 825 días (aproximadamente 2 años y 3 meses). Actualmente, la propuesta no se vota, pero muchos proveedores de navegadores han informado que admiten la nueva oferta de caducidad del certificado SSL.

Por otro lado, no se puede decir que las autoridades certificadoras no estén muy contentas con este tema. Durante la última década, los fabricantes de navegadores han acortado sistemáticamente la fecha de caducidad de los certificados SSL. Se redujo inicialmente de ocho a cinco años, luego a tres años y finalmente a dos años.

Antes de eso, el último cambio se produjo en marzo de 2018, los fabricantes de navegadores intentaron reducir la vida útil de los certificados SSL de tres años a un año, pero tras la presión de las autoridades de certificación, se decidió en dos años. Parece que los fabricantes de navegadores no han renunciado a sus planes originales.

Reacciones a la nueva oferta.

Timothy Hollebeek, representante de DigiCert en CA/B Forum, escribió sobre la postura de la empresa frente a la nueva oferta en su blog.

El gerente de DigiCert, quien dijo que aumentará los costos de sus clientes, afirmó que los estándares no deben cambiarse en períodos tan cortos.

Problema de reversión de SSL

El investigador de seguridad Scott Helme criticó la publicación del blog de Hollebeek en Twitter, afirmando que los beneficios de por vida de los certificados SSL a corto plazo no tienen nada que ver con sitios maliciosos o phishing, sino con el proceso de recuperación del certificado SSL.

Helme dijo que este proceso es problemático y que los certificados SSL incorrectos continúan usándose durante años después de que se emiten y revocan, por lo que los certificados SSL cortos pueden resolver este problema porque los certificados SSL incorrectos caducan cada vez más rápido.

Los navegadores hacen las reglas

La guerra entre los proveedores de certificados y los fabricantes de navegadores lleva años. HashedOut, un blog relacionado con HTTPS, afirmó que esta oferta en realidad se trata de probar quién controla el dominio HTTPS y todo lo demás.

Mientras tanto, DigiCert está realizando una encuesta anónima entre sus clientes, preguntando cómo afectará a sus actividades la vida útil del certificado SSL de un año. Si los clientes se quejan de esto (que probablemente lo harán), DigiCert utilizará estos resultados de investigación contra la oferta de Google.

Fuente: https://www.zdnet.com/article/google-wants-to-reduce-lifespan-for-https-certificates-to-one-year/

Publicaciones relacionadas

Botón volver arriba