近日,CA/B論壇第59次面對面工作會議在微軟公司總部美國華盛頓州雷德蒙德市舉辦,來自全球多家主流瀏覽器及操作系統(tǒng)廠商、CA機構及網(wǎng)絡安全專家齊聚一堂,探討WebPKI生態(tài)最新的相關標準要求、挑戰(zhàn)和未來前景。數(shù)安時代作為中國權威的CA電子認證機構,受邀出席本次會議。
瀏覽器根證書管理項目
會議期間,Mozilla進一步明確了CA機構加入其信任列表的要求及考慮因素,管理策略修訂的重點及方向,再次強調(diào)了新的管理策略將明確限制根證書的可使用期限,以及S/MIME安全郵件證書基準要求實施日期。
谷歌新的管理策略將要求CA機構必須支持更多的技術協(xié)議,如ACME協(xié)議、RFC8657,詳述了要求CA機構實施ACME協(xié)議的原因,進一步澄清了CA機構在出現(xiàn)合規(guī)性及安全事件后的事故報告要求。
展望未來,谷歌將進一步推動證書簽發(fā)及管理的自動化、促進CA機構實現(xiàn)更為“現(xiàn)代化”的基礎設施建設,即限制根證書、中級CA證書及用戶證書的最大有效期、淘汰多用途的根證書。此外,從Chrome 117版本起,谷歌瀏覽器地址欄的安全鎖標志將被新的標志取代。
WebTrust工作組
工作組針對網(wǎng)絡及證書系統(tǒng)安全要求制定了獨立的審計標準,還首次對標S/MIME安全郵件證書基準要求制定了審計標準。工作組還介紹了目前各類審計標準的更新情況,以及ISO 27099的更新對審計標準的影響。
證書工作組
論壇各工作組針對不同類型的證書進行了專題討論,代碼簽名證書工作組重點探討了證書透明機制、EV證書必要性、時間戳證書私鑰使用期限等。服務器證書工作組的會議則圍繞EV證書驗證的數(shù)據(jù)源、ACME證書管理、網(wǎng)絡及證書系統(tǒng)安全要求修訂等方面。S/MIME安全郵件證書工作組介紹了新的基準要求實施各方面提出的問題,基準要求新的修訂內(nèi)容,并重點討論了中級CA證書過渡、用戶證書私鑰保護等問題。
會議期間,數(shù)安時代與Mozilla及谷歌就SSL/TLS證書最大有效期、機構身份鑒別等相關問題進行了溝通。谷歌對于其擬提議的90天最大有效期的SSL/TLS證書,表示不會單方面強制實施該要求,而會在實施前與CA機構及其他利益相關方做好充分溝通。此外,數(shù)安時代還與WebTrust工作組的專家就審計機構資質(zhì)及許可的審計地區(qū)交換了意見,明確了我國內(nèi)地CA機構在開展WebTrust審計時可選擇的審計機構。
作為CA/B國際論壇擁有投票權的成員,數(shù)安時代將持續(xù)與全球主流瀏覽器、操作系統(tǒng)廠商及證書認證機構,共同研討國際網(wǎng)站安全、互聯(lián)網(wǎng) PKI 技術及參與國際行業(yè)標準的建設,共推國際互聯(lián)網(wǎng)領域安全發(fā)展。
