Google planerar att sänka SSL-certifikatens livstid till ett år

SSL-certifikat

Google planerar att göra några ändringar i SSL-certifikatens livstid. Certifikaten skulle i så fall endast vara giltiga i ett år snarare än i två år.

Googles medarbetare Ryan Sleevi presenterade idén vid ett CA / B Forums F2F-möte som hölls i juni i år. För de som inte vet är CA / B Forum i grunden en plattform som består av webbläsarleverantörer, operativsystem och certifikatmyndigheter. Detta är en inofficiell grupp som ansvarar för att fastställa riktlinjer för branschen som styr digitala certifikat.

Brower-leverantörer röstade till förmån för beslutet

Enligt förslag skulle alla nya SSL-certifikat vara giltiga i cirka ett år och en månad (397 dagar). Speciellt har alla befintliga certifikat en livslängd på mer än två år (825 dagar). Förslaget stöddes av en majoritet av webbläsartillverkare.

Certifikatmyndigheterna är dock emot beslutet. Det är inte första gången som en sådan idé diskuteras. SSL-certifikaten var ursprungligen giltiga i cirka åtta år. De ökande säkerhetshoten tvingade myndigheterna att minska det till tre och sedan två år efter ett stort motstånd.

CA / B-forumet avvisade ett liknande förslag som presenterades redan 2017. Tanken var att minska livslängden till ett år. Certifikatmyndigheterna anser att det är orättvist att ändra SSL-certifikatens livstid igen.

Den reducerade livstiden erbjuder säkerhetsfördelar

Även om certifikatutfärdarna är emot idén ger det dock massor av säkerhetsfördelar tillsammans med den. Det behöver inte sägas att reglerna för efterlevnad ändras varje månad. Ändringen skulle göra det lättare för företagen att övergå med de nya reglerna.

Det finns många företag som skyddar sina system med hjälp av digitala certifikat. Vi kan inte förneka det faktum att förändringen också skulle leda till ytterligare kostnader för tusentals sådana företag. Viktigast av allt är att inga större säkerhetsförbättringar är på väg till följd av den minskade livslängden.

De behöver fortfarande hantera alla skadliga aktörer som regelbundet planerar phishing-attacker. Det blir svårare och svårare för dem att skydda sina kunder utan några synliga fördelar. Detta krig mellan webbläsarleverantörer och certifikatmyndigheter är inte något nytt. Det är bara en tidsfråga att se om Google fortfarande är framgångsrika i sina ansträngningar.