Para proteger a web são definidos padrões que as autoridades de certificação e navegadores devem atender.
O Fórum de Autoridade de Certificação / Navegador CA/B é o órgão de definição de padrões que colabora nos aspectos de segurança de sites.
Composto por cerca de 50 Autoridade Certificadoras (CA) e nove fornecedores de software de navegador de Internet, o Fórum CA / B representa as partes principais na segurança de sites.
O padrão atual da indústria para proteger sites é a criptografia TLS / SSL, mas há muito mais coisas relacionadas à segurança online que o Fórum define.
Esta postagem abordará alguns insights sobre como o Fórum funciona e a função da DigiCert como uma AC, mas primeiro vamos apresentar o que o Fórum faz.
O que é o Fórum CA / B?
Simplificando, o Fórum é uma organização voluntária de CAs líderes, como DigiCert, e fornecedores de software de navegador de Internet, como Google Chrome e Apple Safari.
Desde 2006, o Fórum definiu padrões para a indústria da CA com base nas melhores práticas da indústria. Esses padrões aprimoram a maneira como todos usam os certificados TLS – Transport Layer Security, o protocolo que substituiu o SSL – Secure Sockets Layer beneficiando todos os usuários da Internet e protegendo suas comunicações.
O que o Fórum CA / B produz?
O Fórum produz padrões, chamados Requisitos de Linha de Base, aos quais todos as CAs públicas, sejam membros do Fórum ou não, devem aderir.
As CAs passam por auditorias pelo menos uma vez por ano para verificar a conformidade com esses padrões, e os relatórios de auditoria resultantes são fornecidos aos navegadores.
Quaisquer deficiências devem ser corrigidas, o que pode exigir a revogação dos certificados. Como órgão emissor de padrões, o Fórum não está envolvido no cumprimento dos requisitos e não tem autoridade para conceder exceções aos seus requisitos.
História do Fórum CA / B
A primeira reunião do Fórum ocorreu em 2005 e o Fórum começou a ganhar popularidade e confiança em 2006.
Em 2007, os certificados de Validação Estendida (EV) e as diretrizes de EV foram adotados fazendo melhorias nos requisitos de validação de identidade existentes, que não eram padronizados na época. CAs e navegadores se reuniram informalmente para definir os padrões do setor sobre emissão, revogação e outras decisões de segurança. Eles então publicaram os padrões de certificado de Validação da Organização (OV) e Validação de Domínio (DV). Embora tenha sido fundado nos Estados Unidos, com o tempo, o número de membros do Fórum também cresceu para incluir membros adicionais de outras regiões, como Europa, Ásia e América do Sul, incluindo o Brasil.
Por que isso importa
O Fórum toma decisões com base no conhecimento de navegadores e CAs. Os CAs geralmente coletam informações e opiniões de seus clientes para tomar decisões informadas e trazer atualizações para as discussões do Fórum.
A DigiCert está na linha de frente para nossos clientes e usuários certificados. Retransmitimos sugestões e desenvolvimentos informados ao Fórum após ouvir suas necessidades. Mas isso só pode funcionar quando todos os membros trabalham juntos e entendem que as melhores práticas funcionam melhor quando se baseiam nas necessidades de todos os principais interessados.
Como funciona o Fórum CA / B
Os padrões de segurança do site não são estáticos. Eles se adaptam às necessidades da indústria e estão em constante mudança. O Fórum revisa os padrões por meio de um processo de votação.
Qualquer pessoa no fórum pode propor uma ideia ou alterar os requisitos básicos. Uma vez que se chegue a um consenso geral de que a proposta beneficiará a segurança ou as operações, o indivíduo pode fazer uma votação com os acréscimos definidos, como uma linha vermelha sobre o antigo requisito.
O Fórum realiza uma discussão organizada em torno das alterações propostas, e o proponente pode optar por editar ou substituir completamente o texto preliminar em resposta à discussão. Assim que o proponente achar que a proposta está pronta, a proposta segue para o período de votação. E para que seja aprovada, dois terços dos CAs e a maioria dos navegadores devem votar.
O Fórum se comunica em uma variedade de formas através de listas de e-mail, telefonemas, reuniões face-a-face e do website CA / B Forum.
As listas de e-mail onde as discussões acontecem e as atas de todas as ligações telefônicas e reuniões presenciais estão disponíveis publicamente e podem ser usadas para rastrear o que está acontecendo no Fórum.
Também é permitida a participação de interessados sem direito a voto. Essas partes interessadas podem ser qualquer pessoa que queira responder ao que está acontecendo no Fórum. As partes interessadas podem postar e ler listas de discussão e responder, mas não podem votar.
Em 2016, o Fórum foi reorganizado para permitir grupos de trabalho adicionais que pudessem trabalhar nas especificações para outros tipos de certificados, como assinatura de código e S / MIME.
Para esses grupos de trabalho, os CAs são chamados de “Emissores de certificado”, e os aplicativos e sistemas operacionais que confiam em tais certificados são chamados de “Consumidores de certificado”.
O nome Fórum CA / Navegador agora é um tanto anacrônico, pois para duas das três classes de certificados, os Consumidores de Certificado não são navegadores.
Contribuições da DigiCert para o Fórum CA / B
DigiCert é um membro co-fundador da CA que participa do Fórum para garantir que a Internet seja um espaço seguro e protegido para nossos clientes e seus usuários.
Além disso, os funcionários da DigiCert lideram vários grupos de trabalho dentro do Fórum.
Dean Coclin da DigiCert é o novo presidente do Fórum e presidente do Grupo de Trabalho de Assinatura de Código, Tim Hollebeek preside o subcomitê de validação e Stephen Davidson é o presidente do grupo de trabalho S / MIME.
Aqui estão alguns dos tópicos em que o DigiCert esteve envolvido recentemente:
Requisitos para perfis de certificado
A DigiCert esteve fortemente envolvida no projeto para melhorar a forma como os requisitos para perfis de certificado são expressos, trazendo clareza adicional ao que é ou não permitido. A forma atual como são expressos é confusa e fragmentada, levando a muitas divergências sobre se vários certificados foram emitidos corretamente ou não.
A DigiCert fornece regularmente ao Fórum atualizações sobre computadores quânticos e criptografia pós-quântica.
DigiCert está trabalhando com a Microsoft como parte do Grupo de trabalho de assinatura de código para descobrir como fazer a transição da assinatura de código para algoritmos criptográficos mais fortes, sem interromper o grande número de aplicativos e dispositivos que já usam a assinatura de código.
S / MIME
A DigiCert está ajudando o grupo de trabalho S / MIME a inventariar os padrões de e-mail existentes. O grupo está progredindo em direção à versão 1.0 dos Requisitos de linha de base S / MIME.
Melhorias na validação de identidade
Ao contrário de algumas outras CAs, que acreditam que as identidades nos certificados existem apenas para evitar phishing e que as práticas de validação existentes são suficientes, a DigiCert acredita que identidades fortes são fundamentais para uma PKI da web forte e ofereceu várias melhorias importantes para a validação de identidade, alguns dos quais foram adotados.
Embora todo o Fórum trabalhe em prol de políticas que possibilitem uma internet mais segura, dentro do Fórum há opiniões divergentes sobre como chegar lá. Da perspectiva da DigiCert, defendemos políticas que beneficiam a segurança digital e a indústria de segurança.
O que o Fórum CA / B decide
As decisões tomadas pelo Fórum se manifestam nos Requisitos Básicos para a Emissão e Gestão de Certificados de Confiança Pública .
Decisões Recentes
Em agosto de 2019, o CA / B Forum Ballot SC22 foi apresentado pelo Google para reduzir os períodos de validade do certificado TLS para um ano. A votação foi reprovada no Fórum, o que significa que a validade máxima dos certificados permaneceu em dois anos. No entanto, em 2020, a Apple decidiu unilateralmente mudar para períodos de validade de certificado de um ano e muitos navegadores principais seguiram. DigiCert oferece suporte a certificados de um ano.
O Server Certificate Ballot 25 reforçou os requisitos técnicos para validação de domínio baseada em HTTP.
O Server Certificate Ballot 30 exigiu a divulgação de quais agências de registro a CA usa para verificar as informações de identidade. Esta foi uma das melhorias de identidade propostas pela DigiCert.
O Server Certificate Ballot 31 moveu vários requisitos que existiam originalmente em vários programas raiz para os Requisitos de linha de base. Gerenciar esses requisitos por meio do processo do Fórum, embora não seja perfeito, geralmente é melhor do que uma ação unilateral por programas raiz.
O Server Certificate Ballot 33 adicionou um novo método de validação baseado no IETF RFC 8737, substituindo um método de validação IETF anterior que foi retirado devido a problemas de segurança. A cédula foi aprovada pela DigiCert.
O Code Signing Ballot 4 moveu vários cronogramas para transições para métodos de criptografia mais fortes ligeiramente para trás, para dar ao setor tempo para fazer uma transição suave. A votação foi proposta pela DigiCert.
Em 2020, a votação que criava o grupo de trabalho S / MIME foi aprovada. O CA / B Forum aprovou recentemente uma votação para criar um novo grupo de trabalho sobre padrões mínimos de segurança para certificados S / MIME publicamente confiáveis. O próprio Stephen Davidson da DigiCert preside este grupo de trabalho.
Olhando para a Frente
Ao tomar essas decisões, sempre há muitos problemas e discussões nas reuniões do Fórum. Sem dúvida, essa complexidade continuará no futuro. Prevemos mais comunicação em torno do seguinte:
Regras de validação para certificados.
Esperamos um maior endurecimento das regras de validação e tempos de vida de validação dos certificados para aumentar a segurança da web. Os navegadores indicaram o desejo de encurtar ainda mais a vida útil, ao mesmo tempo em que encurtam a reutilização de dados de validação.
O número de campos permitidos em certificados provavelmente continuará a diminuir, de acordo com os desejos do navegador.
Movimentos adicionais por navegadores para restringir ou eliminar métodos de validação
Por exemplo, o Chrome está pressionando pela eliminação da validação baseada em HTTP para certificados curinga em um cronograma acelerado. Não está claro neste momento como isso acontecerá.
Campo Unidade Organizacional em certificados
Este campo tem sido usado historicamente para uma ampla variedade de propósitos, mas os navegadores não estão inclinados a permitir que isso continue. É provável que seja banido em 2021.
Padrões S / MIME. Este grupo de trabalho está fazendo um excelente progresso ao criar um perfil para certificados do Secure Mail. Assim que isso for concluído e aceito pelo Fórum, os padrões de auditoria seguirão.
Fonte: Blog Digicert
DigiCert Enterprise PKI Manager aprimora a segurança para trabalho remoto
Dean Coclin, da DigiCert, em entrevista sobre segurança em websites
CA/Browser Forum Governance Reform
CA/Browser Forum Approves Baseline Requirements for SSL/TLS Certificates