Индустрия сертификатов HTTPS внедряет новые требования безопасности

Форум Certification Authority/Browser («Форум органов сертификации/браузерных организаций») — это межотраслевая группа, которая работает над разработкой минимальных требований к сертификатам TLS. Как пишет блог Google по безопасности, в начале этого месяца два предложения из дорожной карты Google «стали обязательной практикой в Основных требованиях Форума органов сертификации/браузерных организаций», что повышает безопасность и гибкость соединений TLS...

Многостороннее подтверждение выпуска (MPIC)

Прежде чем выдать сертификат веб-сайту, орган сертификации (CA) должен проверить, что заявитель действительно контролирует доменное имя, которое будет представлено в сертификате. Этот процесс называется «проверка контроля над доменом», и для его выполнения существуют несколько хорошо определенных методов. Например, CA может указать случайное значение для размещения на веб-сайте, а затем выполнить проверку для подтверждения того, что это значение было опубликовано заявителем сертификата.

Несмотря на существующие требования к проверке контроля над доменом, определенные Форумом органов сертификации/браузерных организаций, рецензируемые исследования, подготовленные Центром политики информационных технологий Принстонского университета и другими авторами, выявили риск атак Border Gateway Protocol (BGP) и захвата префиксов, приводящих к мошенническому выпуску сертификатов. Этот риск не был исключительно теоретическим, поскольку было показано, что злоумышленники успешно использовали эту уязвимость в многочисленных случаях, и только одна из таких атак привела к прямым потерям в размере приблизительно 2 миллионов долларов.

Программа корневых сертификатов Chrome возглавила рабочую группу участников экосистемы, что привело к голосованию в Форуме органов сертификации/браузерных организаций по внедрению MPIC путем голосования SC-067. Голосование получило единогласную поддержку от организаций, участвовавших в нем. Начиная с 15 марта 2025 года, органы сертификации, выпускающие общедоступно доверенные сертификаты, должны будут полагаться на MPIC в качестве части процесса выдачи сертификатов. Некоторые из этих органов сертификации полагаются на проект Open MPIC для обеспечения того, чтобы их реализации были надежными и соответствовали ожиданиям экосистемы...

Линтинг

Линтинг — это автоматический процесс анализа сертификатов X.509 для обнаружения и предотвращения ошибок, несогласованностей и несоблюдения требований и отраслевых стандартов. Линтинг гарантирует правильное форматирование сертификатов и включение в них необходимых данных для их предполагаемого использования, таких как аутентификация веб-сайтов. А в будущем, слабые методы проверки контроля над доменом (в настоящее время разрешенные Основными требованиями Форума органов сертификации/браузерных организаций для TLS) будут запрещены с 15 июля 2025 года.

Линтинг помогает снизить риск несоблюдения стандартов, что может привести к «неправильной» выдаче сертификатов. А в будущем, слабые методы проверки контроля над доменом (в настоящее время разрешенные Основными требованиями Форума органов сертификации/браузерных организаций для TLS) будут запрещены с 15 июля 2025 года.

«В дальнейшем мы с нетерпением ждем возможности разработать переосмысленную веб-PKI и программу корневых сертификатов Chrome с еще более надежными гарантиями безопасности для Интернета, поскольку мы переходим к переходу на постквантовую криптографию».