Сертификация Центров Сертификации и требования к корневым сертификатам браузеров

Требования к Центрам Сертификации

В последних новостях была подчеркнута необходимость обеспечения надежной безопасности в онлайн-коммуникациях, и использование SSL-сертификатов, выданных авторитетным сертификационным центром (CA), возможно, является наилучшим способом достижения этого. Но почему публика должна доверять SSL-сертификатам, выпущенным из коммерческих корней ЦС, которые встроены в доверительные привязки в веб-браузерах? Один из ответов - из-за множества уровней стандартов и жестких требований, которые должны соответствовать всем коммерческим ЦС, и для которых они проверяются каждый год. Эти стандарты и требования увеличились из года в год за последнее десятилетие.

В 1990-х годах СА главным образом регулировались применимыми техническими стандартами для обеспечения совместимости, установленными такими документами, как RFC 1422, 2459, 2527 (включенный в Annex A of Draft ANSI X9.79), и 2560, ISO/IEC 9594-8/ITU-T Рекомендации X.509, «Информационные технологии - Взаимосвязь открытых систем: Справочник: Основы аутентификации» и Руководящие принципы цифровой подписи Американской ассоциации юристов: Юридическая инфраструктура для органов сертификации и электронной коммерции предложила рамки для соблюдения ЦС, включая создание подробного и публичного заявления о практике сертификации (CPS) с процедурами безопасности, которые ЦС будет выполнять. Но соблюдение этих правил было по существу добровольным CA, потому что подтверждение соответствия в AISPA Type II SAS 70 Audit Report позволило CA определить свои собственные контрольные цели и поэтому считалось слишком слабым.

Все это изменилось с 2000 года с внедрения WebTrust для центров сертификации, режима аудита производительности, в котором излагаются конкретные технические, защитные и процедурные шаги, которые должны выполняться всеми ЦС. В 2005 году большинство крупных коммерческих центров сертификации и браузеров создали CA / Browser Forum (Forum) для изучения вопросов, связанных с внедрением SSL, и для повышения уровня стандартов SSL. Аудит должен бпроводиться каждый год, и на каждом веб-сайте ЦС публикуется окончательное письмо с подтверждением соответствия. согласно https://www.webtrust.org/homepage-documents/item27839.aspx

WebTrust для ЦС требует ежегодных аудитов эффективности независимого аудитора третьей стороны, как правило, от одной из ведущих аудиторских фирм в мире операций и практики ЦС в каждой из следующих основных областей:

• Раскрытие деловой практики
• Управление деловой практикой
• Контроль окружающей среды (особенно контроль безопасности)
• Основные элементы управления жизненным циклом
• Управление жизненным циклом ключа подписчика
• Контроль управления жизненным циклом сертификата
• Элементы управления жизненным циклом CA подчиненного центра сертификации

Успешным ЦС разрешено отображать печать WebTrust на своих сайтах

Требования политики ETSI (Европейский институт стандартов телекоммуникаций) создал параллельные стандарты аудита ETSI, которые используются некоторыми центрами сертификации (главным образом в Европе) вместо различных стандартов аудита WebTrust. Первоначально был только технический стандарт ETSI (TS) для выдачи квалифицированных сертификатов в соответствии с Европейской директивой электронной подписи 1999/93 / EC (TS 101 456). Тем не менее, теперь есть технические стандарты ETSI, сопоставимые с WebTrust, такие как TS 102 042: требования к политике для сертификационных органов, выдающих сертификаты открытых ключей.

В 2007 году Форум опубликовал стандарты и требования, определяющие сертификат расширенной проверки расширенной безопасности (EV) с более сильной аутентификацией клиентов в соответствии с Руководством по EV. Это, в свою очередь, привело к проверке критериев WebTrust и ETSI в 2007 году для всех центров сертификации, которые выдают сертификаты EV, так что большинству ЦС пришлось успешно выполнять два набора критериев аудита каждый год. Успешным центрам сертификации разрешено показывать на своих веб-сайтах дополнительную печать EV WebTrust или быть перечисленным как успешно завершающий аудит в соответствии с ETSI TR 101 564 - Руководство по ETSI TS 102 042 для выдачи расширенных сертификатов проверки для аудиторов и CSP Наконец, Форум решил создать дополнительные аудиторские стандарты, которые будут применяться ко всем сертификатам SSL, выдаваемым ЦС, а не только сертификатам EV, а также к одновременному повышению требований к безопасности системы. Это привело к появлению новых базовых требований к CA / Browser Forum Baseline Requirements (2012) и соответствующих базовых требований для WebTrust и ETSI (2013). В настоящее время коммерческие центры сертификации должны отвечать как минимум трем наборам критериев аудита, охватывающих их безопасность, операции и процедуры каждый год.

Требования к браузерам относительно сертификатов

Кто на самом деле заставляет коммерческие центры сертификации успешно выполнять эти три ежегодных аудита WebTrust / ETSI? - Браузеры и операционные системы, которые принимают и доверяют «корням» из ЦС и включают их в свои обновления программного обеспечения, такие как Microsoft, Mozilla, Google, Apple и Opera. ЦС могут продавать только цифровые сертификаты клиентам, если их корни принимаются в качестве доверенных браузерами и операционными системами и включены в их программное обеспечение, поэтому браузеры могут заставить все ЦС завершить эти ежегодные аудиты.

Вот примеры корневых программ браузера, которым должны удовлетворять все Центры Сертификации

• Microsoft: https://social.technet.microsoft.com/wiki/contents/articles/3281.introduction-to-the-microsoft-root-certificate-program.aspx
• Mozilla: https://www.mozilla.org/projects/security/certs/policy/
• Google: https://sites.google.com/a/chromium.org/dev/Home/chromium-security/root-ca-policy
• Apple: https://www.apple.com/certificateauthority/ca_program.html
• Opera: https://www.opera.com/docs/ca/

Браузеры требуют подтверждения ежегодных аудитов WebTrust или ETSI, а также соответствия всем другим правилам программы, а дополнительные требования добавляются браузерами часто по мере выявления новых потребностей в безопасности. Центры сертификации, которые не соответствуют требованиям (и делают), уходят корнями из корневых хранилищ браузера, что фактически является смертельным приговором для бизнеса ЦА поскольку его сертификатам больше не будет доверять общественность

Роль CA Security Council

SSL-экосистему также улучшают с помощью другой организации CA - Совета безопасности CA (CASC). В 2013 году семь крупных центров сертификации решили сделать больше для совершенствования практики SSL в Интернете посредством своих коллективных действий, и они сформировали Совет безопасности CA (CASC) - см. Список членов-учредителей по адресу https://casecurity.org/meet-the-council/ CASC уже провел ряд образовательных проектов и будет объявлять новые инициативы на постоянной основе.

Сегодня ЦС подвержены значительным общим стандартам безопасности и отраслевым нормам, налагаемым на ЦС самими СА, а также браузерами и приложениями в качестве условия включения в доверенные корневые хранилища. Стандарты и положения эффективно внедряются посредством аудита в соответствии с по меньшей мере тремя наборами годовых критериев эффективности, проводимыми независимыми сторонними аудиторами в рамках WebTrust или ETSI. С 2000 года отрасль находится на пути непрерывного самосовершенствования, и ее работа продолжается, поскольку зависимость общественности от этой технологии безопасности продолжает расти и приобретать все большее значение.