作为由全球公共可信的CA机构、浏览器厂商及操作系统厂商共同组成的国际性组织,CA/B论坛在第三季度期间更新了一系列行业瞩目的技术策略,内容涉及Google和Mozilla浏览器及Android、GMail平台,入根政策也发生了明显变化,同时CA/B对合规Bug和解决方案进行了有效汇总。
天威诚信带您了解CA/B第三季度最新内容,详情如下:
关于浏览器及平台更新
第三季度,CA/B主要针对Google和Mozilla浏览器制定了部分新的入根策略和政策方面的要求。
关于Google的入根策略,CA/B表示跨 Chrome 平台项目(Root Store 已在所有 Chrome
平台上启用。根程序处于开发阶段),将继续接受CA的root收录请求。
关于请求的优先级基于策略中提到的因素,若CA请求加入,可分享有助于确定其请求的优先级的详细信息。如果CA想申请EV特殊标识,当前的流程是发送Email并创建Bug。
对于incident,需向chrome-root-authority-program@google.com 发送事件报告。
此外,就Google的其他平台入根问题也做出了具体说明,其中,Android平台需要在 “Libcore” 组件中创建一个bug;GMail目前还未定义标准流程, 将会更新至management@ list。
Mozilla方面
主要涉及到中级CA信任规则(可涵盖交叉认证)的问题。当前,火狐2.8版本root
policy要求在新的公司或组织获得对子CA的控制权时进行公开讨论(此处可能会涵盖交叉认证的情况,如果未入根Mozilla,则通过交叉认证也不可以得到信任),对此内容CA/B已有专门wiki页面介绍其细则,同时对子CA
的要求从多个方面做出了解释说明。
此外Policy
2.8中还有一些需要关注的内容,如要求CA维护适用于当前包含在Mozilla根程序中的CA证书层次结构的先前CA策略文档的可用性;要求CA维护所有政策文档旧版本的链接;要求非歧视性CA行为(即CA不应通过任意撤销证书或拒绝颁发证书来DoS或审查网站)等,用户需根据自身情况关注并处理这些问题。
在CA合规Bug汇总方面,报告分别详细说明了审计报告/CCADB中缺少CA(9 incidents)误签发(6 incidents)吊销延迟(4
incidents) CRL/OCSP 问题(10 incidents)有效期(4 incidents)测试网站(4 incidents)密钥问题(8
incidents)等Bug可能出现的原因及解决方案,用户可按照网站给出的提示处理自己遇到的情况,并及时上报新出现的问题。
CAB工作组方面,WebTrust有提出将网络安全审计报告与 BR 报告分开,其他类型的证书要求可以纳入
BR,CA/B网络安全小组委员会正在考虑成为一个单独的工作组,他们会将此要求提交给cpa考虑。
WebTrust审计新项目方面,2021年9月,WebTrust for CA-Verified Mark
Certificates(商标验证证书)1.0 版发布,该版本基于2021年8月颁发的Verified Mark
Certificates的最低安全要求,这些要求的主要目标是描述颁发和管理消费者和依赖方信任的Verified Mark Certificates (VMC)
所需的一系列技术、协议、身份和商标证明的要求,并已根据最新的报告模板做出了保证报告草案。
此外,WebTrust for CA 2.2.1在第三季度也做出了一些更新,主要表现在:
1.公共CA和私有CA的披露政策
在之前的版本中,它指出“证书颁发机构必须披露其密钥和证书生命周期管理业务和信息隐私实践。有关CA业务实践的信息应提供给所有订阅者和所有潜在的依赖方,通常是通过在其网站上发布。此类披露可能包含在证书政策 (CP) 和/或认证实践声明 (CPS) 或可供用户(订阅者和依赖方)使用的其他信息材料中。”
2.提供 Mozilla 要求的额外信息
Mozilla提出的有关为受信任根执行WebTrust 参与的审计师资格的附加信息,WebTrust将提供基于加拿大、美国和国际报告的模板。
通过以上信息,我们可以看出,CA/B第三季度在加强合规性和安全性方面依然保持着较强的力度,所做的技术调整和策略更新均在入根流程方面做了更严格的要求,不过在对Bug的反应和给出解决方案的速度方面仍然值得称道。