Google, HTTPS Serifikalarının Ömrünü Bir Yıla Çekmek İstiyor

Google, HTTPS Serifikalarının Ömrünü Bir Yıla Çekmek İstiyor

Google, HTTPS Serifikalarının Ömrünü Bir Yıla Çekmek İstiyor

Google, HTTPS’nin şifrelenmiş trafiğini korumak için kullanılan SSL sertifikasının tasarruf ömrünü iki yıldan bir yıla indirmek istiyor. Teklifi yapan kişi ise Yunanistan’da düzenlenen CA/B Forum’daki F2F içtimasına Google temsilcisi olarak katılan Ryan Sleevi oldu.

CA: SSL sertifikaları dağıtan şirketler.

B: Tarayıcı üreticileri.

Oylar

Sleevi’nin 2020’nin mart ayından itibaren başlayacak olan teklifine nazaran SSL sertifikasının ömrü 825 gün (kabaca 2 yıl 3 ay) yanına 397 gün (1 yıl 1 ay) olacak. Şu an için teklif oylanmadı ama birçok tarayıcı tedarikçisi yeni SSL sertifikası tasarruf müddeti teklifini desteklediklerini bildirdi.

Gayrı yandan sertifika otoritelerinin bu mevzuda çok da memnun olduğunu söylemek mümkün değil. Son on yılda tarayıcı üreticileri SSL sertifikalarının tasarruf vadelerini mütemadi olarak kısalttı. Birinci olarak sekiz yıldan beş yıla, akabinde üç yıla en son ise iki yıla kadar indi.

Bundan evvel son değişiklik Mart 2018’de meydana gelmiş, tarayıcı üreticileri SSL sertifikalarının ömrünü üç yıldan bir yıla indirmeye çalışmış fakat sertifika otoritelerinin presleri sonrası iki yılda karar kılınmıştı. Görünüşe bakılırsa tarayıcı üreticileri asıl planlarından vazgeçmiş değiller.

Yeni teklife yansılar

DigiCert’ün CA/B Forum’daki temsilcisi olan Timothy Hollebeek, kaleme aldığı blog yazısında şirketin yeni teklife karşı olan duruşunu kaleme aldı.

“Bu değişikliğin çok kısa devir periyoduna sahip zararlı web sitelerine hiçbir tesiri yok. Birkaç gün ya da en çokça birkaç hafta sonra alan ismi kara listeye ekleniyor ve saldırganlar akabinde yeni bir alan ismi ile yeni sertifikalar alıyorlar.”

Müşterilerinin maliyetlerini de epeyce artıracağını söyleyen DigiCert başkanı, standartların da bu kadar kısa periyodik devirler halinde değiştirilmemesi gerektiğini söz etti.

SSL geri alma sorunu

Güvenlik araştırmacısı olan Scott Helme ise Twitter üzerinden Hollebeek’in blog yazısını eleştirerek kısa periyodik SSL sertifikalarının tasarruf ömrünün yararlarının zararlı sitelerle ya da şifre avcılığıyla bir alakası olmadığını, bahsin SSL sertifikasını geri alma süreci olduğunu söz etti.

Helme, bu sürecin problemli olduğunu ve makûs SSL sertifikalarının ihraç edildikten ve iptal edildikten sonra da yıllarca kullanılmaya devam edildiğini, bu yüzden kısa SSL sertifikalarının bu sorunu çözebileceğini zira istenilmeyen SSL sertifikalarının aşama aşama daha süratli biteceğini söyledi.

Kuralları tarayıcılar koyuyor

Sertifika sağlayıcıları ile tarayıcı üreticiler arasındaki savaşı yıllardır alttan alta esasen devam ediyordu. HTTPS ile alakalı haberler yapan bir blog olan HashedOut, bu teklifin aslında HTTPS sahasını ve kalan her şeyi kimin denetim ettiğini kanıtlamakla alakalı olduğunu argüman etti.

“Eğer ki sertifika şirketleri bunu kabul etmezse, tarayıcı üreticilerinin tek taraflı hareket edebilir ve değişikliği her türlü zorlayabilir. Teamüller olmadan olmaz fakat daha evvel bir bahiste bu türlü eşit bir dağılım olmamıştı. Şayet ki gerçekleşirse CA/B Forum’un vakasının ne olduğunu sormak gerekir. Zira o noktada tarayıcı karar sürmeye başlıyor ve tüm bunlar bir saçmalıktan ibaret oluyor.”

Bu arada DigiCert, müşterileri arasında anonim bir araştırma gerçekleştiriyor ve bir yıllık SSL sertifikası ömrünün aktivitelerini nasıl etkileyeceğini soruyor. Şayet ki müşteriler bu mevzudan şikayetçi olursa (ki muhtemelen olacak) DigiCert, bu araştırma sonuçlarını Google’ın teklifine karşı kullanacaktır.

Beğen

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir