CA/Browser Forum вводит новые требования к безопасности интернета.
Альянс CA/Browser Forum обновил требования к центрам сертификации (CA) и процессам аудита, а также представил правила выпуска сертификатов для доменов .onion. Изменения направлены на усиление контроля, прозрачности и безопасности инфраструктуры публичных ключей (PKI).
Обязательства и аудит центров сертификации
Согласно новым требованиям, каждый CA обязан:
Аудит и квалификация аудиторов
Аудит должен выполняться квалифицированным аудитором, обладающим следующими компетенциями:
CA обязаны проводить самоаудиты как минимум раз в квартал, проверяя случайную выборку сертификатов. С 15 марта 2025 года такие выборки должны проверяться с использованием процесса линтинга для оценки технической точности сертификатов. Аналогичные проверки применяются для сторонних делегатов, которые также обязаны проходить ежегодный аудит.
Сертификаты для доменов .onion
Согласно новым требованиям, сертификаты для доменов .onion должны соответствовать строгим правилам. Домен должен содержать два уровня: «onion» и уникальный адрес версии 3 в соответствии с спецификацией Tor.
CA обязаны проверять владение .onion-доменом следующими методами:
CA не имеют права выпускать wildcard-сертификаты для доменов .onion, если это не предусмотрено отдельными процедурами в правилах. CA также подчеркивает, что сертификаты для доменов .onion не будут считаться внутренними именами при условии, что они соответствуют новым требованиям. Это изменение направлено на повышение доверия и улучшение безопасности в экосистеме Tor.
Юридические и финансовые обязательства
CA несет полную ответственность за выполнение своих обязанностей и соблюдение всех требований, включая обязательства делегированных сторон. В случае нарушений CA обязаны компенсировать потери пользователям и поставщикам приложений.
Каждая CA должна уведомлять форум CA/Browser Forum о любых изменениях в политике сертификации и обеспечивать соблюдение законодательства во всех юрисдикциях, где они работают. При необходимости изменения в требованиях должны быть минимальными и временными до устранения конфликта с местным законодательством.
Обновление требований и законодательное соответствие
Центры сертификации обязаны следовать местному законодательству в каждой юрисдикции, где они работают. В случае конфликта между местным законом и требованиями CA/Browser Forum, CA может вносить минимальные изменения в политику до устранения несоответствий.
Изменения в политике должны быть зафиксированы в публичных документах и направлены на согласование с CA/Browser Forum. При изменении законодательства или правил CA обязаны обновить свои политики в течение 90 дней.
Изменения направлены на повышение безопасности и прозрачности инфраструктуры публичных ключей и обеспечение доверия к сертификационным центрам, особенно в контексте выпуска сертификатов для доменов .onion.
github.com/cabforum/servercert/blob/Reduce-Max-Validity-and-Data-Reuse-Periods-Over-Time/docs/BR.md#7-certificate-crl-and-ocsp-profiles
Альянс CA/Browser Forum обновил требования к центрам сертификации (CA) и процессам аудита, а также представил правила выпуска сертификатов для доменов .onion. Изменения направлены на усиление контроля, прозрачности и безопасности инфраструктуры публичных ключей (PKI).
Обязательства и аудит центров сертификации
Согласно новым требованиям, каждый CA обязан:
- Соответствовать актуальным требованиям и проходить аудит в указанные сроки.
- Получать лицензию в каждой юрисдикции, где это требуется законом.
- Обеспечивать выполнение политики сертификации (Certificate Policy, CP) и процедурной политики сертификации (Certification Practice Statement, CPS).
Аудит и квалификация аудиторов
Аудит должен выполняться квалифицированным аудитором, обладающим следующими компетенциями:
- Независимость от объекта аудита.
- Владение навыками анализа PKI, информационной безопасности и сертификационных стандартов.
- Лицензия WebTrust или аккредитация ETSI в соответствии с ISO 17065.
- Поддержание профессиональной ответственности через страхование с лимитом не менее $1 млн.
- WebTrust (например, версии 2.7 или новее).
- ETSI (например, EN 319 411-1).
- Внутренняя аудиторская схема, если она удовлетворяет требованиям или сопоставима с принятыми стандартами.
CA обязаны проводить самоаудиты как минимум раз в квартал, проверяя случайную выборку сертификатов. С 15 марта 2025 года такие выборки должны проверяться с использованием процесса линтинга для оценки технической точности сертификатов. Аналогичные проверки применяются для сторонних делегатов, которые также обязаны проходить ежегодный аудит.
Сертификаты для доменов .onion
Согласно новым требованиям, сертификаты для доменов .onion должны соответствовать строгим правилам. Домен должен содержать два уровня: «onion» и уникальный адрес версии 3 в соответствии с спецификацией Tor.
CA обязаны проверять владение .onion-доменом следующими методами:
- Согласованные изменения на веб-странице (разделы 3.2.2.4.18 и 3.2.2.4.19).
- Использование TLS через ALPN (раздел 3.2.2.4.20).
CA не имеют права выпускать wildcard-сертификаты для доменов .onion, если это не предусмотрено отдельными процедурами в правилах. CA также подчеркивает, что сертификаты для доменов .onion не будут считаться внутренними именами при условии, что они соответствуют новым требованиям. Это изменение направлено на повышение доверия и улучшение безопасности в экосистеме Tor.
Юридические и финансовые обязательства
CA несет полную ответственность за выполнение своих обязанностей и соблюдение всех требований, включая обязательства делегированных сторон. В случае нарушений CA обязаны компенсировать потери пользователям и поставщикам приложений.
Каждая CA должна уведомлять форум CA/Browser Forum о любых изменениях в политике сертификации и обеспечивать соблюдение законодательства во всех юрисдикциях, где они работают. При необходимости изменения в требованиях должны быть минимальными и временными до устранения конфликта с местным законодательством.
Обновление требований и законодательное соответствие
Центры сертификации обязаны следовать местному законодательству в каждой юрисдикции, где они работают. В случае конфликта между местным законом и требованиями CA/Browser Forum, CA может вносить минимальные изменения в политику до устранения несоответствий.
Изменения в политике должны быть зафиксированы в публичных документах и направлены на согласование с CA/Browser Forum. При изменении законодательства или правил CA обязаны обновить свои политики в течение 90 дней.
Изменения направлены на повышение безопасности и прозрачности инфраструктуры публичных ключей и обеспечение доверия к сертификационным центрам, особенно в контексте выпуска сертификатов для доменов .onion.
github.com/cabforum/servercert/blob/Reduce-Max-Validity-and-Data-Reuse-Periods-Over-Time/docs/BR.md#7-certificate-crl-and-ocsp-profiles
