Компания CA/Browser Forum разработала базовые требования к сертификатам SSL/TLS.

Первый в этой отрасли стандарт выдачи и управления цифровыми сертификатами SSL/TLS.

CA/Browser Forum выпустил “Базовые правила сертификатов”, первый международный стандарт базового уровня работы Центров Сертификации (CAs), выдачи SSL/TLS цифровых сертификатов и программного обеспечения.

SSL/TLS цифровые сертификаты используются для проверки подлинности владельцев сайтов и других интернет ресурсов, также для шифрования частной информации в сети.

«SSL/TLS сертификаты являются важной частью структуры безопасности Интернета, совмещая проверенные технические стандарты з возможностью масштабирования обработки миллионов сайтов и большого количества пользователей программного обеспечения” – утверждает Тим Мосес, председатель форума  CA/Browser.  »

Baseline Requirements повисит надежность и отчетность выдачи сертификатов SSL/TLS путем создания базовых стандартов для всех центров сертификации.

Baseline Requirements основанны на опыте работы SSL/TLS и предоставляют сертификационным центрам четкие стандарты, включая идентификацию личности, структуру сертификатов и профилей, безопасность сертификационных центров, отмену некоторых механизмов, использование алгоритмов и ключей, аудит, ответственность и конфиденциальность при передачи данных (в том числе и для суб-организаций сертификации и других регистрирующих органов).

Базовые требования – Baseline Requirements, вступают в силу с 1 июня 2012 года, за этот период  все сертификационные центры должны привести выдачу и работу их SSL/TLS в соответствие к стандартам. CA/B Forum намерены продолжить список базовых требований (Baseline Requirements) для исключения возможности риска или угроз, которые связанны с выдачей или использованием сертификатов SSL/TLS.

CA/Browser Forum была создана ещё в 2006 и работала с «Extended Validation» (EV) для SSL/TLS.  EV был разработан для банков и других высокопрофильных сайтов где требуется подтверждение законности сайта и личных параметров владельца.

“С Baseline Requirements мы будем следовать международным стандартам выдачи всех SSL/TLS, в том числе множеством вариантов Domain Validation и Organisation Validation (доменных и организационных проверок) .” – говорит Эди Ниг из StartCom CA. ”Уже было приложено много усилий, привлечено более  50 организаций включая основных поставщиков браузеров и центров сертификации из разных стран, а также представителей интернет стандарта и аудита, юридических сообществ, которые работают с SSL/TLS.”

CA/Browser Forum сотрудничает как с крупными многонациональными сертификационными центрами, так и  с меньшими издателями – фокусируясь на некоторых регионах или отдельных отраслях.

Основные центры сертификации уже подтвердили согласие с обязательством выполнения Baseline Requirements до назначенной даты в 2012 году. Как показали результаты независимого исследования Netcraft, среди членов CA/Browser Forum есть такие организации как Symantec, Go Daddy, Comodo, GlobalSign, DigiCert, Entrust, StartCom, TrustWave, QuoVadis, Certum, T‑Systems, Izenpe, и BuyPass – это представители более чем 94% всех организаций, работающих с SSL/TLS.

Представители CA/Browser Forum обратились с просьбой к производителям интернет браузеров и операционных систем принять условия Baseline Requirements.

По словам Катлин Уилсон из Mozilla, «Четыре года назад CA/Browser Forum выпустили Extended Validation – наивысший стандарт сертификации. Теперь и Baseline Requirements являются основой передового опыта по определению единого набора правил необходимых стандартов для всех сертификатов SSL/TLS.”

CA/B Forum  также подал запрос на основные режимы аудита что используются центрами сертификаций, WebTrust и ETSI, для разработки необходимых критериев и оценки их соответствия Baseline Requirements.

Дополнительная информация о CA/Browser Forum и Baseline Requirements предоставлена на http://cabforum.org/.

Дополнительные коментарии по поводу CAB/Forum Baseline Requirements:

“С помощью введения базовых требований мы делаем большой шаг вперед в сфере обеспечения Интернет безопасности”, говорит Френ Рош, вице президент Symantec. «Эти новые стандарты SSL/TLS разработаны для безопасности работы центров сертификации и являются важным событием, особенно теперь, учитывая рост опасности кибер угроз. Компания Symantec также будет поддерживать систему базовых требований и способствовать этой инициативе в развитии.”

«Comodo также будут использовать Baseline Requirements и сейчас занимаются пересмотром всех сертификатов и требований к ним.” – отмечает Робен Олден, технический директор компании Comodo.  “Когда эти требования вступят в силу то несомненно упростят работу браузеров и центров сертификации, а также обеспечат лучшую контролируемость сертификатов, для подтверждения их соответствия требуемым стандартам, что также поднимет доверие к сертификатам.”

«Baseline Requirements и связанный с ним передовой опыт добавит ясность и понимание работы SSL/TLS и их важной роли в Интернете”, – отмечает Стив Роянс, директор отдела по развитию бизнеса компании GlobalSign.

«Baseline Requirements обеспечат последовательную основу безопасности для различных продуктов SSL/TLS, доступных из разных центров сертификации по всему миру”, говорит Кен Бретшнейдер, генеральный директор DigiCert.  »Если стандарт Extended Validation помогал защитить основные компоненты от фишинга, то программа Baseline будет полезной для всех пользователей SSL/TLS сертификатов и безопасности HTTPS.

“До CA/Browser Forum Baseline Requirements, действительно не было единого стандарта для выдачи SSL сертификатов”, говорит Давид Роквам, генеральный менеджер Entrust Certificate Services. “Для разработки Baseline Requirements было проанализировано работу SSL/TLSE, так как новые правила должны обеспечить надежные руководящие принципы постоянного безопасного функционирования SSL/TLS протоколов. Это важный шаг в сфере надежности работы в Интернете.”

“Раньше, центры сертификации должны были сами обеспечивать настройки соответственных режимов программного обеспечения.” – утвердждает Роман Бруннер, генеральный директор QuoVadis.  »С базовыми требованиями основных стандартов, объедененных в одном домене, состоялась детализация объязаностей и повышение ответственности работы сертификационных центров при выдаче цифровых сертификатов SSL/TLS.”

Комментарии запрещены.