Хто стоїть за спиною авторизації та розробниками браузерів. хто командує парадом в сертифікатах SSL Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Що таке CA / Browser Forum і хто командує в інтернет

Хто ця таємнича «всемогутня сила», що стоїть за Центрами сертифікації та виробниками браузерів і гаджетів?

За великим рахунком CA / Browser Forum є галузевим органом, що складається з центрів сертифікації (CA) і веб-браузерів, з метою просування «передових галузевих методів для поліпшення способів використання сертифікатів в інтересах користувачів Інтернету і безпеку їх спілкування».

Представники Центрів сертифікації та Компаній виробників браузерів состовляют більшість в CAB форумі.

Центри сертифікації (ЦС або CA)

Центри сертифікації відповідають за дотримання галузевих вимог і стандартів при видачі сертифікатів SSL. Одна з основних областей - перевірка інформації про сертифікат і відмова у випуску SSL сертифікатів для фішингові сайти. Для Центрів сертифікації важливо бути уважним до того, кому вони видають сертифікати, і щоб вони слідували рекомендаціям з безпеки для забезпечення безпеки мережі. В Базових вимогах вказано, що всі центри сертифікації повинні здійснювати посилені перевірки високого ризику для підозрілих запитів. Для вирішення цієї проблеми Digicert, найбільший центр сертифікації має торгові марки Thawte і Geotrust, використовує фішинговий фільтр, який регулярно оновлюється на основі нової інформації.

Certificate Authority Authorization

CAB форум зобов'язав Центри сертифікації перевіряти вимоги CAA (Certificate Authority Authorization), яке дозволяє власникам доменів вказувати, які CA можуть видавати сертифікати домену / доменів. Власники доменів можуть створювати DNS-записи CAA, в яких перераховані CA, дозволені для видачі сертифікатів домену.

Якщо в домені є запис або записи CAA, і жодна з цих записів не містить digicert.com як дозволеного емітента, то DigiCert заборонено видавати сертифікат цього домену чи поддомену. CAA не є обов'язковим для власника домену, але перевірка записів CAA є обов'язковою для Центру сертифікації

Акредитація CA

Перевірка прав на використання домену дозволена трьома способами:

  1. Підтвердження запиту на сертифікат натиснувши на посилання в листі надісланому на адресу виду admin, administrator, webmaster, postmaster, hostmaster
  2. Розміщення спеціального *коду на спеціальній сторінці /.well-known/pki-validation/fileauth.txt
  3. Створення DNS TXT запису [domain name] або _dnsauth.[domain name] зі спеціальним * кодом
    Верифікація домену

* Спеціальний код має приблизно такий вид A7ku091h1og39uv54sdo1v265graqw
отримання коду для підтвердження домену Для отримання коду зверніться в службу підтримки по емаил, скайпу webtrust.ua або зателефонуйте +380672576220 +380443834054

Certificate Transparency

Кожен Центр сертифікації повинен використовувати сертифікати, відповідніполитиці Google CT Сенс журналів CT полягає в тому, щоб заборонити CA видавати сертифікати відкритих ключів для домену без відома власника домену. Прозорість сертифіката (КТ) забезпечує життєздатний механізм для своєчасного виявлення виданих сертифікатів.

Центри сертфіікаціі грають важливу роль в інтернет-безпеки. ЦС повинні докладати всіх зусиль, щоб гарантувати, що випускають сертифікати "хорошим хлопцям", а не "поганим хлопцям", ну наскільки це звичайно можливо;)

Браузери

Браузери є останньою лінією захисту і є кінцевим призначеним для користувача інтерфейсом при підключенні до сайтів через HTTPS, тому їх уявлення сайту має вирішальне значення для безпеки. За останні два роки відбулося багато змін в уявленні сайтів, захищених за допомогою SSL, включаючи унікальний режим, який призвів до старіння SHA-1, який включав жовті попередження, червоні блокування і т.д.

З огляду на таку велику кількість змін останнім часом компанії і споживачі можуть трохи заплутатися в тому, що це означає і як їм слід це інтерпретувати. Браузери пробують прийти до спільної згоди щодо призначеного для користувача інтерфейсу для SSL, щоб користувачам було простіше дізнатися, яким сайтам довіряти, а підприємствам - який рівень SSL їм потрібен. Наприклад, в даний час всі основні браузери відображають назву компанії в рядку URL-адреси, зазвичай зеленим, коли сайт використовує SSL-сертифікат розширеної перевірки (EV). Цей простий, загальний користувальницький інтерфейс дозволяє користувачам бачити назву компанії, що управляє сайтом, щоб відрізняти його від сайтів-шахраїв і фішерів. Браузери прагнуть виробити загальний підхід для SSL-сертифікатів з перевіркою домену (DV) та з перевіркою організації (OV) - знайти деякі загальні процедури призначеного для користувача інтерфейсу, щоб допомогти користувачам дізнатися, чи використовує сайт DV або OV OV сертифікат в ідеалі це вказує на більш високу ступінь впевненості користувача ніж DV завдяки додатковим перевіркам, необхідним для отримання сертифіката.

Прийняття рішень учасниками форуму авторизації та розробників браузерів

Будь-який учасник CA / Browser Forum може висунути ідеї для обговорення на форумі. Якщо загальна згода досягнуто, що запропонована зміна принесе користь безпеки або операціями в деякому роді, учасниця може висувати виборчий бюлетень з детальним певним зміною Це тягне за собою додавання чіткого опису проблеми, як запропонована зміна вирішить її, і анотації або червоної лінії над старою вимогою. Обговорення проводиться як мінімум протягом одного тижня, а потім бюлетень переноситься в тижневий період голосування, за умови, що протягом періоду обговорення не відбулося істотних змін. Більш складні теми часто обговорюються на особистих зустрічах, що проводяться тричі на рік, де ви можна знайти багато ключових учасників в залі і активно обговорити плюси і мінуси і те, що люди хотіли б бачити в якості пропонованого або рекомендованого зміни.