กูเกิลส่งข้อเสนอเข้าไปยัง CA/Browser Forum ในการโหวตครั้งที่ 185 เสนอให้แก้ข้อกำหนดในเอกสาร Baseline Requirement (BR) เพิ่มเติม โดยกำหนดให้ใบรับรองทั้งหมดที่ออกหลังวันที่ 24 สิงหาคมนี้ ต้องมีอายุใช้งานไม่เกิน 398 วัน จากเดิมกำหนดอายุให้ 39 เดือน แต่หลังจากการโหวตมีทีท่าว่าจะไม่ผ่าน กูเกิลก็แสดงท่าทีว่าอาจจะบีบหน่วยงานออกใบรับรองด้วยการบังคับกฏนี้ใน Chrome เสียเอง
ข้อกำหนดของ BR ข้อนี้เพิ่งแก้ไขไปเมื่อปีที่แล้ว ลดเพดานเวลาจาก 60 เดือนลงเหลือ 39 เดือน และตอนนี้เป็นการลดเพดานลงอีกครั้ง เหตุผลอย่างหนึ่งคือกระบวนการเข้ารหัสที่อาจจะมีความเปลี่ยนแปลงไปตามเวลา ใบรับรองที่ใช้ค่าแฮชแบบ SHA-1 เคยใช้งานได้ดีแต่เมื่อมีรายงานว่ามีความอ่อนแอ กระบวนการยกเลิกใบรับรองกลับทำได้ยากเพราะมีเว็บจำนวนมากยังคงใช้ใบรับรองเหล่านี้อยู่
ฝั่งผู้ผลิตเบราว์เซอร์หลักๆ ได้แก่ ไฟร์ฟอกซ์, Chrome (ผู้เสนอเอง), และไมโครซอฟท์ แสดงตัวว่าเห็นด้วยในหลักการว่าระยะเวลา 39 เดือนนั้นนานเกินไป แต่ไมโครซอฟท์ระบุว่าระยะเวลาที่เสนอมานั้นกระชั้นเกินไป (ไม่แน่ชัดว่าเป็นระยะเวลาหมดอายุใบรับรอง หรือระยะเวลาเริ่มบังคับกฏ) ทำให้ตัดสินใจโหวตข้อเสนอนี้ตกไป ส่วนฝั่งผู้ออกใบรับรองนั้นออกมาโหวตให้ตกไปแทบทั้งหมด โดยเฉพาะทางฝั่ง Comodo ที่ออกมาตอบโต้ว่ามีผู้ถือใบรับรองจำนวนมากไม่มีกำลังคนพอจะติดตั้งระบบเปลี่ยนใบรับรองอัตโนมัติหรือเปลี่ยนใบรับรองถี่ขนาดนี้ และผู้สนับสนุนข้อเสนอนี้ก็ควรถูกตั้งคำถามว่าสนใจการใช้งานของผู้ใช้หรือไม่
ตอนนี้มีผู้โหวตสนับสนุนเพียงสามราย คือ กูเกิล, ไฟร์ฟอกซ์, และ Let's Encrypt ขณะที่ DigiCert ระบุว่าจะโหวตสนับสนุนถ้ายอมยืดอายุใบรับรองเป็น 2 ปี แทนที่จะเป็น 13 เดือน
ที่มา - CA/Browser Forum
Comments
มันง่ายที่ฝั่งอ่านใบเซอร์จะดูวันหมดอายุ แต่มันยากที่จะสร้างใบเซอร์ใหม่หลายร้อยล้านใบพร้อมๆกัน สินะ...
Enterprise เหนื่อยแฮ่กกันพอดี
จาก 8 ปี > 5 ปี > 3ปี > 398 วัน
ดีมากครับพ่อมหาจำเจริญ พวก enterprise ที่ต้องใช้ document ยืนยันกับ CA บางเจ้ากว่าจะ improove ได้ก็นานโข
cert นะครับคุณพี่ไม่ใช่ถุงยาง จะได้ใช้แล้วทิ้งเล่นได้ทุกวัน (ยกนิ้วให้เลย)
จริงๆ ฝั่ง enterprise ก็ต้องปรับปรุงกระบวนการใหม่ครับ จะบอกว่าลงระบบใหม่หรือปรับประบวนการใหม่ เช่นใช้ private key เดิมเวลา renew ไม่ต้องส่งเอกสารใหม่อะไรแบบนั้น
แต่ต่อให้ผลักดันให้ทำแบบนั้นเงื่อนระยะเวลาไม่กี่เดือนก็โหดเกินไป ถ้าปีนี้บีบเหลือ 2 ปี แล้วอีกสองปีปรับเหลือปีเดียวอะไรแบบนั้นยังมีเหตุมีผล (และไปรับกัน cert เก่าๆ ที่จะหมดอายุไปเรื่อยๆ แล้วด้วย)
lewcpe.com, @wasonliw
ข่าวต่อมา google เปิดบริการออก ใบรับรอง ssl
คิดถึงตอนขอ cert ระดับ OU หรือพวก EV แล้วสยอง ขอวันนี้รอ 7 วัน เดินเอกสารอีกหลายหน้า เอกสารผิด ขอใหม่ รอ 7 วัน ><" (อยากเร็วเปิด ticket แต่มุขนี้มันใช้ได้ผลช่วงแรกๆ) มันไม่ง่ายอย่างที่ Google มันคิดไง ถ้ามัน automate มันก็โอเค (แต่ก็พวกราคาถูกๆ) แต่มันมี cert ที่มัน automate ไม่ได้ เพราะมันติดตรงขั้นตอนเอกสารนั้นแหละ
มันจะเป็นการบีบให้ระบบตรวจสอบเร็วขึ้นดีขึ้นหรือเปล่าครับ ถ้าได้ก็คงดี
ประเด็นคือ ขั้นตอนมันยังเร็วไม่พอ และมีระเบียบยุ่งยาก สำหรับ cert บางประเภท ทำให้การ issue cert ใหม่บ่อยๆ เป็นภาระมากเกินไปน่ะครับ
EV ยกมือบอกเลยว่าโดนกับตัวครับ เอกสารหรือเบอร์โทรผิดเมื่อไหร่เล่นปาเข้าไปเกือบเดือน
ปล. ใช้ค่าย Digicert เพราะมีพนักงานไทยท่านนึงประสานงานให้(แต่บางครั้งที่เธอไม่อยู่ก็หายนะสำหรับผมเพราะฟังสำเนียงของพนักงานออสเตรเลียไม่ออก)
เห็นด้วยกับ Google งานนี้ก็เหนื่อยกันทุกฝ่าย แต่อินเตอเน็ตทุกวันนี้ 2 ปี ก็นานเกินไปด้วยซ้ำ เทคโนโลยียังเปลี่ยนกันแทบทุกวัน
ไอ้เลขไม่ลงตัวนี่มีที่มาจากอะไรครับเนี่ย
เวลาใช้งานใบเก่าแบบสบายใจ 1 ปี = 366 (เผื่อปีเยอะ) + เวลาออกใบรับรอง 1 เดือน = 31 (เผื่อเดือนเยอะ) + เวลาตั้งค่าใบรับรอง 1 วัน = 1 (เผื่อวันเยอะ) = 366 + 31 + 1 = 398 วันพอดีเป๊ะเลยครับ
แถได้สนิทใจดีครับ ;)
จริงๆ +1 กับ +1 นั่นคือเผื่อเสาร์อาทิตย์ครับ
lewcpe.com, @wasonliw
โอ้ ขอบคุณครับ
เห็นด้วยกับ DigiCert นะว่า 2 ปี หรือ 25 เดือนดีกว่ามาก
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)