Google, HTTPS’nin şifrelenmiş trafiğini korumak için kullanılan SSL sertifikasının kullanım ömrünü iki yıldan bir yıla indirmek istiyor. Teklifi yapan kişi ise Yunanistan’da düzenlenen CA/B Forum’daki F2F toplantısına Google temsilcisi olarak katılan Ryan Sleevi oldu.
CA: SSL sertifikaları dağıtan şirketler.
B: Tarayıcı üreticileri.
Oylar
Sleevi’nin 2020’nin mart ayından itibaren başlayacak olan teklifine nazaran SSL sertifikasının ömrü 825 gün (kabaca 2 yıl 3 ay) yerine 397 gün (1 yıl 1 ay) olacak. Şu an için teklif oylanmadı lakin birçok tarayıcı tedarikçisi yeni SSL sertifikası kullanım mühleti teklifini desteklediklerini bildirdi.
Diğer yandan sertifika otoritelerinin bu bahiste çok da memnun olduğunu söylemek mümkün değil. Son on yılda tarayıcı üreticileri SSL sertifikalarının kullanım müddetlerini daima olarak kısalttı. Birinci olarak sekiz yıldan beş yıla, akabinde üç yıla en son ise iki yıla kadar indi.
Bundan evvel son değişiklik Mart 2018’de meydana gelmiş, tarayıcı üreticileri SSL sertifikalarının ömrünü üç yıldan bir yıla indirmeye çalışmış lakin sertifika otoritelerinin baskıları sonrası iki yılda karar kılınmıştı. Görünüşe bakılırsa tarayıcı üreticileri asıl planlarından vazgeçmiş değiller.
Yeni teklife tepkiler
DigiCert’ün CA/B Forum’daki temsilcisi olan Timothy Hollebeek, kaleme aldığı blog yazısında şirketin yeni teklife karşı olan duruşunu kaleme aldı.
“Bu değişikliğin çok kısa vakit dönemine sahip ziyanlı web sitelerine hiçbir tesiri yok. Birkaç gün ya da en fazla birkaç hafta sonra alan ismi kara listeye ekleniyor ve saldırganlar akabinde yeni bir alan ismi ile yeni sertifikalar alıyorlar.”
Müşterilerinin maliyetlerini de epey artıracağını söyleyen DigiCert yöneticisi, standartların da bu kadar kısa periyodik periyotlar halinde değiştirilmemesi gerektiğini söz etti.
SSL geri alma sorunu
Güvenlik araştırmacısı olan Scott Helme ise Twitter üzerinden Hollebeek’in blog yazısını eleştirerek kısa periyodik SSL sertifikalarının kullanım ömrünün yararlarının ziyanlı sitelerle ya da şifre avcılığıyla bir alakası olmadığını, hususun SSL sertifikasını geri alma süreci olduğunu söz etti.
Helme, bu sürecin problemli olduğunu ve makus SSL sertifikalarının ihraç edildikten ve iptal edildikten sonra da yıllarca kullanılmaya devam edildiğini, bu yüzden kısa SSL sertifikalarının bu sorunu çözebileceğini zira berbat SSL sertifikalarının evre kademe daha süratli biteceğini söyledi.
Kuralları tarayıcılar koyuyor
Sertifika sağlayıcıları ile tarayıcı üreticiler ortasındaki savaşı yıllardır alttan alta aslında devam ediyordu. HTTPS ile alakalı haberler yapan bir blog olan HashedOut, bu teklifin aslında HTTPS alanını ve kalan her şeyi kimin denetim ettiğini kanıtlamakla alakalı olduğunu sav etti.
“Eğer ki sertifika şirketleri bunu kabul etmezse, tarayıcı üreticilerinin tek taraflı hareket edebilir ve değişikliği her türlü zorlayabilir. Teamüller olmadan olmaz lakin daha evvel bir bahiste bu türlü eşit bir dağılım olmamıştı. Şayet ki gerçekleşirse CA/B Forum’un olayının ne olduğunu sormak gerekir. Zira o noktada tarayıcı karar sürmeye başlıyor ve tüm bunlar bir saçmalıktan ibaret oluyor.”
Bu ortada DigiCert, müşterileri ortasında anonim bir araştırma gerçekleştiriyor ve bir yıllık SSL sertifikası ömrünün aktivitelerini nasıl etkileyeceğini soruyor. Şayet ki müşteriler bu bahisten şikayetçi olursa (ki muhtemelen olacak) DigiCert, bu araştırma sonuçlarını Google’ın teklifine karşı kullanacaktır.