กูเกิลส่งข้อเสนอเข้าไปยัง CA/Browser Forum ในการโหวตครั้งที่ 185 เสนอให้แก้ข้อกำหนดในเอกสาร Baseline Requirement (BR) เพิ่มเติม โดยกำหนดให้ใบรับรองทั้งหมดที่ออกหลังวันที่ 24 สิงหาคมนี้ ต้องมีอายุใช้งานไม่เกิน 398 วัน จากเดิมกำหนดอายุให้ 39 เดือน แต่หลังจากการโหวตมีทีท่าว่าจะไม่ผ่าน กูเกิลก็แสดงท่าทีว่าอาจจะบีบหน่วยงานออกใบรับรอง ด้วยการบังคับกฏนี้ใน Chrome เสียเอง
ข้อกำหนดของ BR ข้อนี้เพิ่งแก้ไขไปเมื่อปีที่แล้ว ลดเพดานเวลาจาก 60 เดือนลงเหลือ 39 เดือน และตอนนี้เป็นการลดเพดานลงอีกครั้ง เหตุผลอย่างหนึ่งคือกระบวนการเข้ารหัสที่อาจจะมีความเปลี่ยนแปลงไปตามเวลา ใบรับรองที่ใช้ค่าแฮชแบบ SHA-1 เคยใช้งานได้ดีแต่เมื่อมีรายงานว่ามีความอ่อนแอ กระบวนการยกเลิกใบรับรองกลับทำได้ยากเพราะมีเว็บจำนวนมากยังคงใช้ใบรับรองเหล่านี้อยู่
ฝั่งผู้ผลิตเบราว์เซอร์หลักๆ ได้แก่ ไฟร์ฟอกซ์, Chrome (ผู้เสนอเอง), และไมโครซอฟท์ แสดงตัวว่าเห็นด้วยในหลักการว่าระยะเวลา 39 เดือนนั้นนานเกินไป แต่ไมโครซอฟท์ระบุว่าระยะเวลาที่เสนอมานั้นกระชั้นเกินไป (ไม่แน่ชัดว่าเป็นระยะเวลาหมดอายุใบรับรอง หรือระยะเวลาเริ่มบังคับกฏ) ทำให้ตัดสินใจโหวตข้อเสนอนี้ตกไป ส่วนฝั่งผู้ออกใบรับรองนั้นออกมาโหวตให้ตกไปแทบทั้งหมด โดยเฉพาะทาง ฝั่ง Comodo ที่ออกมาตอบโต้ ว่ามีผู้ถือใบรับรองจำนวนมากไม่มีกำลังคนพอจะติดตั้งระบบเปลี่ยนใบรับรองอัตโนมัติหรือเปลี่ยนใบรับรองถี่ขนาดนี้ และผู้สนับสนุนข้อเสนอนี้ก็ควรถูกตั้งคำถามว่าสนใจการใช้งานของผู้ใช้หรือไม่
ตอนนี้มีผู้โหวตสนับสนุนเพียงสามราย คือ กูเกิล, ไฟร์ฟอกซ์, และ Let's Encrypt ขณะที่ DigiCert ระบุว่าจะโหวตสนับสนุนถ้ายอมยืดอายุใบรับรองเป็น 2 ปี แทนที่จะเป็น 13 เดือน
ที่มา - CA/Browser Forum
Comments
มันง่ายที่ฝั่งอ่านใบเซอร์จะดูวันหมดอายุ แต่มันยากที่จะสร้างใบเซอร์ใหม่หลายร้อยล้านใบพร้อมๆกัน สินะ...
Enterprise เหนื่อยแฮ่กกันพอดี
จาก 8 ปี > 5 ปี > 3ปี > 398 วัน
ดีมากครับพ่อมหาจำเจริญ พวก enterprise ที่ต้องใช้ document ยืนยันกับ CA บางเจ้ากว่าจะ improove ได้ก็นานโข
cert นะครับคุณพี่ไม่ใช่ถุงยาง จะได้ใช้แล้วทิ้งเล่นได้ทุกวัน (ยกนิ้วให้เลย)
จริงๆ ฝั่ง enterprise ก็ต้องปรับปรุงกระบวนการใหม่ครับ จะบอกว่าลงระบบใหม่หรือปรับประบวนการใหม่ เช่นใช้ private key เดิมเวลา renew ไม่ต้องส่งเอกสารใหม่อะไรแบบนั้น
แต่ต่อให้ผลักดันให้ทำแบบนั้นเงื่อนระยะเวลาไม่กี่เดือนก็โหดเกินไป ถ้าปีนี้บีบเหลือ 2 ปี แล้วอีกสองปีปรับเหลือปีเดียวอะไรแบบนั้นยังมีเหตุมีผล (และไปรับกัน cert เก่าๆ ที่จะหมดอายุไปเรื่อยๆ แล้วด้วย)
lewcpe.com , @wasonliw
ข่าวต่อมา google เปิดบริการออก ใบรับรอง ssl
คิดถึงตอนขอ cert ระดับ OU หรือพวก EV แล้วสยอง ขอวันนี้รอ 7 วัน เดินเอกสารอีกหลายหน้า เอกสารผิด ขอใหม่ รอ 7 วัน ><" (อยากเร็วเปิด ticket แต่มุขนี้มันใช้ได้ผลช่วงแรกๆ) มันไม่ง่ายอย่างที่ Google มันคิดไง ถ้ามัน automate มันก็โอเค (แต่ก็พวกราคาถูกๆ) แต่มันมี cert ที่มัน automate ไม่ได้ เพราะมันติดตรงขั้นตอนเอกสารนั้นแหละ
มันจะเป็นการบีบให้ระบบตรวจสอบเร็วขึ้นดีขึ้นหรือเปล่าครับ ถ้าได้ก็คงดี
ประเด็นคือ ขั้นตอนมันยังเร็วไม่พอ และมีระเบียบยุ่งยาก สำหรับ cert บางประเภท ทำให้การ issue cert ใหม่บ่อยๆ เป็นภาระมากเกินไปน่ะครับ
EV ยกมือบอกเลยว่าโดนกับตัวครับ เอกสารหรือเบอร์โทรผิดเมื่อไหร่เล่นปาเข้าไปเกือบเดือน
ปล. ใช้ค่าย Digicert เพราะมีพนักงานไทยท่านนึงประสานงานให้(แต่บางครั้งที่เธอไม่อยู่ก็หายนะสำหรับผมเพราะฟังสำเนียงของพนักงานออสเตรเลียไม่ออก)
เห็นด้วยกับ Google งานนี้ก็เหนื่อยกันทุกฝ่าย แต่อินเตอเน็ตทุกวันนี้ 2 ปี ก็นานเกินไปด้วยซ้ำ เทคโนโลยียังเปลี่ยนกันแทบทุกวัน
ไอ้เลขไม่ลงตัวนี่มีที่มาจากอะไรครับเนี่ย
เวลาใช้งานใบเก่าแบบสบายใจ 1 ปี = 366 (เผื่อปีเยอะ) + เวลาออกใบรับรอง 1 เดือน = 31 (เผื่อเดือนเยอะ) + เวลาตั้งค่าใบรับรอง 1 วัน = 1 (เผื่อวันเยอะ) = 366 + 31 + 1 = 398 วันพอดีเป๊ะเลยครับ
แถได้สนิทใจดีครับ ;)
จริงๆ +1 กับ +1 นั่นคือเผื่อเสาร์อาทิตย์ครับ
lewcpe.com , @wasonliw
โอ้ ขอบคุณครับ
เห็นด้วยกับ DigiCert นะว่า 2 ปี หรือ 25 เดือนดีกว่ามาก
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)