4006-555-883

CA/B三季度信息汇总:效率与安全并重

发布时间:2021-11-19 10:26:00

  作为由全球公共可信的CA机构、浏览器厂商及操作系统厂商共同组成的国际性组织,CA/B论坛在第三季度期间更新了一系列行业瞩目的技术策略,内容涉及Google和Mozilla浏览器及Android、GMail平台,入根政策也发生了明显变化,同时CA/B对合规Bug和解决方案进行了有效汇总。



  天威诚信带您了解CA/B第三季度最新内容,详情如下:

  关于浏览器及平台更新

  第三季度,CA/B主要针对Google和Mozilla浏览器制定了部分新的入根策略和政策方面的要求。

  关于Google的入根策略,CA/B表示跨 Chrome 平台项目(Root Store 已在所有 Chrome 平台上启用。根程序处于开发阶段),将继续接受CA的root收录请求。



  关于请求的优先级基于策略中提到的因素,若CA请求加入,可分享有助于确定其请求的优先级的详细信息。如果CA想申请EV特殊标识,当前的流程是发送Email并创建Bug。

  对于incident,需向chrome-root-authority-program@google.com 发送事件报告。

  此外,就Google的其他平台入根问题也做出了具体说明,其中,Android平台需要在 “Libcore” 组件中创建一个bug;GMail目前还未定义标准流程, 将会更新至management@ list。

  Mozilla方面

  主要涉及到中级CA信任规则(可涵盖交叉认证)的问题。当前,火狐2.8版本root policy要求在新的公司或组织获得对子CA的控制权时进行公开讨论(此处可能会涵盖交叉认证的情况,如果未入根Mozilla,则通过交叉认证也不可以得到信任),对此内容CA/B已有专门wiki页面介绍其细则,同时对子CA 的要求从多个方面做出了解释说明。



  此外Policy 2.8中还有一些需要关注的内容,如要求CA维护适用于当前包含在Mozilla根程序中的CA证书层次结构的先前CA策略文档的可用性;要求CA维护所有政策文档旧版本的链接;要求非歧视性CA行为(即CA不应通过任意撤销证书或拒绝颁发证书来DoS或审查网站)等,用户需根据自身情况关注并处理这些问题。



  在CA合规Bug汇总方面,报告分别详细说明了审计报告/CCADB中缺少CA(9 incidents)误签发(6 incidents)吊销延迟(4 incidents) CRL/OCSP 问题(10 incidents)有效期(4 incidents)测试网站(4 incidents)密钥问题(8 incidents)等Bug可能出现的原因及解决方案,用户可按照网站给出的提示处理自己遇到的情况,并及时上报新出现的问题。

  CAB工作组方面,WebTrust有提出将网络安全审计报告与 BR 报告分开,其他类型的证书要求可以纳入 BR,CA/B网络安全小组委员会正在考虑成为一个单独的工作组,他们会将此要求提交给cpa考虑。



  WebTrust审计新项目方面,2021年9月,WebTrust for CA-Verified Mark Certificates(商标验证证书)1.0 版发布,该版本基于2021年8月颁发的Verified Mark Certificates的最低安全要求,这些要求的主要目标是描述颁发和管理消费者和依赖方信任的Verified Mark Certificates (VMC) 所需的一系列技术、协议、身份和商标证明的要求,并已根据最新的报告模板做出了保证报告草案。


  此外,WebTrust for CA 2.2.1在第三季度也做出了一些更新,主要表现在:

  1.公共CA和私有CA的披露政策

  在之前的版本中,它指出“证书颁发机构必须披露其密钥和证书生命周期管理业务和信息隐私实践。有关CA业务实践的信息应提供给所有订阅者和所有潜在的依赖方,通常是通过在其网站上发布。此类披露可能包含在证书政策 (CP) 和/或认证实践声明 (CPS) 或可供用户(订阅者和依赖方)使用的其他信息材料中。”

  2.提供 Mozilla 要求的额外信息

  Mozilla提出的有关为受信任根执行WebTrust 参与的审计师资格的附加信息,WebTrust将提供基于加拿大、美国和国际报告的模板。

  通过以上信息,我们可以看出,CA/B第三季度在加强合规性和安全性方面依然保持着较强的力度,所做的技术调整和策略更新均在入根流程方面做了更严格的要求,不过在对Bug的反应和给出解决方案的速度方面仍然值得称道。

最新发布
1
超1.7亿条个人信息遭泄露,这2种证书可守护你的App数据安全
2
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
3
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
4
政府机构频遭黑客攻击,国密改造亟需加快推进
5
普京签署特殊“总统令”,关键信息基础设施成各国网络空间博弈主战场
6
首都网络安全日 | 数字经济时代,如何守护我们的网络安全?
7
俄罗斯5.8 TB数据遭黑客泄露,关键基础设施安全亟待加强
8
中共中央办公厅 国务院办公厅发文加强打击网络诈骗,SSL证书网络防护作用凸显
9
警惕!银行系统漏洞频发,国密改造亟需加快推进
10
4·15国家安全教育日 | 网络安全,你我共建
相关推荐
当心!我国互联网持续遭受境外组织网络攻击,企业关键数据安全亟待加强
新型诈骗惊动高层!银保监会紧急发布风险提示 SSL证书价值凸显
Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺
2月15日起施行!国家密码管理局等十三部门修订发布《网络安全审查办法》
Tengine+BabaSSL强强联合,vTrus证书大有可为
《网络安全法》实施五周年,加快推进国密改造提升网络空间安全
战火蔓延,俄罗斯惨遭“断网”!国内网站备份国密证书刻不容缓!
警惕!银行系统漏洞频发,国密改造亟需加快推进
央视专题报道,2亿多网民遭遇信息泄露,如何应对网络安全“重灾区”?
证据曝光!美国对中国使用顶级网络武器!网络“镰刀”之下如何保护自己的安全?