Vlákno názorů k článku
Mozilla také zkrátí platnost HTTPS certifikátů na jeden rok od Ondřej Caletka - Teď je otázka, k čemu tedy vlastně slouží...

Teď je otázka, k čemu tedy vlastně slouží CA/B fórum. Koordinace postupů certifikačních autorit a prohlížečů to zjevně není, když se o zkrácení platnosti certifikátů neprve hlasuje a když hlasování nedopadne podle představ některých členů, ti se klidně utrhnou a změnu prosadí z vlastní iniciativy.

Tohle moc nevypadá jako fórum hledající konsenzus mezi zájmy prohlížečů a certifikačních autorit, tohle vypadá spíš jako nástěnka, na kterou výrobci prohlížečů svévolně umisťují své nápady a certifikační autority nemají žádnou šanci odporovat.

Jako každý podobný panel. Slouží k tomu, aby firmy hledaly aspoň nějaký společný zájem / průnik zájmů. Díky tomu může být aspoň část vývoje koordinovaná mezi vendory. Nevylučuje se to s tím, že si každý zároveň s tím může "razit svou", i tak to částečně pomáhá.

Blbé na tom je, že při hledání toho konsensu se často zvolí bezzubý kompromis. (Následně pak si pak začne razit své vlastní představy - jako v tomto případě).

O tom, co je dobré pro uživatele, nebo pro bezpečnost, jde až v druhé řadě. Vychází se z toho, že pokud nově vzniklé produkty (na nových standardech) budou úspěšné, tak to indikuje, že je to dobré i pro uživatele. Nezávislí (bezpečnostní) odborníci by patrně volili jiná řešení.

Je to trochu přihlouplé a od veřejnosti si to zaslouží spíš zdrženlivý přístup, než nekritickou pochvalu.

Na druhou stranu, všechny CA, kterým Mozilla důvěřuje, jim potvrdily, že platnost vydávaných certifikátů zkrátí: https://ccadb-public.secure.force.com/mozillacommunications/CACommResponsesOnlyReport?CommunicationId=a051J000042AUSv&QuestionId=Q00105,Q00106,Q00107 Takže jakási dohoda s CA tam je, i když šla mimo CA/V fórum a asi byla dost vynucená postupem Applu.

CA nemají jinou možnost. Pokud prohlížeč vyhlásí neplatnost nehledě na datum platnosti v certifikátu, byla by pro CA obchodní sebevražda, kdyby dál vystavovali certifikáty s delší platností.

To není tak úplně pravda. Certifikáty se používají i na jiných místech než na webu, třeba pro API komunikaci interních systémů. Ano, je k tomu možné použít interní CA, ale až dosud bylo pro spoustu institucí jednodušší používat na všechno jednu CA. V takovém případě by jistě spousta správců ocenila vydání certifikátu na dva roky i s tím, že by autorita držitele varovala, že takový certifikát nebude důvěryhodný pro některé webové prohlížeče.

@Ondřej Caletka

To je pravda. Nevěřím ale, že na těchto případech mají CA založený základ svých příjmů.