Альянс CA/Browser Forum обновил требования к центрам сертификации (CA) и процессам аудита, а также представил правила выпуска сертификатов для доменов .onion. Изменения направлены на усиление контроля, прозрачности и безопасности инфраструктуры публичных ключей (PKI).
Обязательства и аудит центров сертификации
Согласно новым требованиям, каждый CA обязан:
Если CA выдает сертификаты, которые могут использоваться для выпуска новых сертификатов, они должны быть ограничены технически (в соответствии с пунктами 7.1.2.3–7.1.2.5 требований) или проходить полный аудит. Каждый период выпуска сертификатов должен сопровождаться аудитом, который проводится не реже одного раза в год. При отсутствии актуального отчета об аудите необходимо провести оценку готовности перед началом выпуска сертификатов.
Аудит и квалификация аудиторов
Аудит должен выполняться квалифицированным аудитором, обладающим следующими компетенциями:
CA может выбрать одну из следующих аудиторских схем:
Отчет об аудите должен включать полные данные об организации, сертификационных центрах, используемых сертификатах и применяемых критериях. Он должен быть опубликован в течение трех месяцев после окончания аудиторского периода. Если отчет задерживается, CA обязана опубликовать объяснительное письмо, подписанное аудитором.
CA обязаны проводить самоаудиты как минимум раз в квартал, проверяя случайную выборку сертификатов. С 15 марта 2025 года такие выборки должны проверяться с использованием процесса линтинга для оценки технической точности сертификатов. Аналогичные проверки применяются для сторонних делегатов, которые также обязаны проходить ежегодный аудит.
Сертификаты для доменов .onion
Согласно новым требованиям, сертификаты для доменов .onion должны соответствовать строгим правилам. Домен должен содержать два уровня: «onion» и уникальный адрес версии 3 в соответствии с спецификацией Tor.
CA обязаны проверять владение .onion-доменом следующими методами:
Все подключения должны осуществляться напрямую через протокол Tor, без использования сторонних сервисов вроде Tor2Web. Еще один вариант проверки – подписание запроса на сертификат приватным ключом скрытого сервиса, что подтверждается специальными значениями nonce с высокой энтропией.
CA не имеют права выпускать wildcard-сертификаты для доменов .onion, если это не предусмотрено отдельными процедурами в правилах. CA также подчеркивает, что сертификаты для доменов .onion не будут считаться внутренними именами при условии, что они соответствуют новым требованиям. Это изменение направлено на повышение доверия и улучшение безопасности в экосистеме Tor.
Юридические и финансовые обязательства
CA несет полную ответственность за выполнение своих обязанностей и соблюдение всех требований, включая обязательства делегированных сторон. В случае нарушений CA обязаны компенсировать потери пользователям и поставщикам приложений.
Каждая CA должна уведомлять форум CA/Browser Forum о любых изменениях в политике сертификации и обеспечивать соблюдение законодательства во всех юрисдикциях, где они работают. При необходимости изменения в требованиях должны быть минимальными и временными до устранения конфликта с местным законодательством.
Обновление требований и законодательное соответствие
Центры сертификации обязаны следовать местному законодательству в каждой юрисдикции, где они работают. В случае конфликта между местным законом и требованиями CA/Browser Forum, CA может вносить минимальные изменения в политику до устранения несоответствий.
Изменения в политике должны быть зафиксированы в публичных документах и направлены на согласование с CA/Browser Forum. При изменении законодательства или правил CA обязаны обновить свои политики в течение 90 дней.
Изменения направлены на повышение безопасности и прозрачности инфраструктуры публичных ключей и обеспечение доверия к сертификационным центрам, особенно в контексте выпуска сертификатов для доменов .onion.
Подробнее: Securitylab.ru
Обязательства и аудит центров сертификации
Согласно новым требованиям, каждый CA обязан:
- Соответствовать актуальным требованиям и проходить аудит в указанные сроки.
- Получать лицензию в каждой юрисдикции, где это требуется законом.
- Обеспечивать выполнение политики сертификации (Certificate Policy, CP) и процедурной политики сертификации (Certification Practice Statement, CPS).
Если CA выдает сертификаты, которые могут использоваться для выпуска новых сертификатов, они должны быть ограничены технически (в соответствии с пунктами 7.1.2.3–7.1.2.5 требований) или проходить полный аудит. Каждый период выпуска сертификатов должен сопровождаться аудитом, который проводится не реже одного раза в год. При отсутствии актуального отчета об аудите необходимо провести оценку готовности перед началом выпуска сертификатов.
Аудит и квалификация аудиторов
Аудит должен выполняться квалифицированным аудитором, обладающим следующими компетенциями:
- Независимость от объекта аудита.
- Владение навыками анализа PKI, информационной безопасности и сертификационных стандартов.
- Лицензия WebTrust или аккредитация ETSI в соответствии с ISO 17065.
- Поддержание профессиональной ответственности через страхование с лимитом не менее $1 млн.
CA может выбрать одну из следующих аудиторских схем:
- WebTrust (например, версии 2.7 или новее).
- ETSI (например, EN 319 411-1).
- Внутренняя аудиторская схема, если она удовлетворяет требованиям или сопоставима с принятыми стандартами.
Отчет об аудите должен включать полные данные об организации, сертификационных центрах, используемых сертификатах и применяемых критериях. Он должен быть опубликован в течение трех месяцев после окончания аудиторского периода. Если отчет задерживается, CA обязана опубликовать объяснительное письмо, подписанное аудитором.
CA обязаны проводить самоаудиты как минимум раз в квартал, проверяя случайную выборку сертификатов. С 15 марта 2025 года такие выборки должны проверяться с использованием процесса линтинга для оценки технической точности сертификатов. Аналогичные проверки применяются для сторонних делегатов, которые также обязаны проходить ежегодный аудит.
Сертификаты для доменов .onion
Согласно новым требованиям, сертификаты для доменов .onion должны соответствовать строгим правилам. Домен должен содержать два уровня: «onion» и уникальный адрес версии 3 в соответствии с спецификацией Tor.
CA обязаны проверять владение .onion-доменом следующими методами:
- Согласованные изменения на веб-странице (разделы 3.2.2.4.18 и 3.2.2.4.19).
- Использование TLS через ALPN (раздел 3.2.2.4.20).
Все подключения должны осуществляться напрямую через протокол Tor, без использования сторонних сервисов вроде Tor2Web. Еще один вариант проверки – подписание запроса на сертификат приватным ключом скрытого сервиса, что подтверждается специальными значениями nonce с высокой энтропией.
CA не имеют права выпускать wildcard-сертификаты для доменов .onion, если это не предусмотрено отдельными процедурами в правилах. CA также подчеркивает, что сертификаты для доменов .onion не будут считаться внутренними именами при условии, что они соответствуют новым требованиям. Это изменение направлено на повышение доверия и улучшение безопасности в экосистеме Tor.
Юридические и финансовые обязательства
CA несет полную ответственность за выполнение своих обязанностей и соблюдение всех требований, включая обязательства делегированных сторон. В случае нарушений CA обязаны компенсировать потери пользователям и поставщикам приложений.
Каждая CA должна уведомлять форум CA/Browser Forum о любых изменениях в политике сертификации и обеспечивать соблюдение законодательства во всех юрисдикциях, где они работают. При необходимости изменения в требованиях должны быть минимальными и временными до устранения конфликта с местным законодательством.
Обновление требований и законодательное соответствие
Центры сертификации обязаны следовать местному законодательству в каждой юрисдикции, где они работают. В случае конфликта между местным законом и требованиями CA/Browser Forum, CA может вносить минимальные изменения в политику до устранения несоответствий.
Изменения в политике должны быть зафиксированы в публичных документах и направлены на согласование с CA/Browser Forum. При изменении законодательства или правил CA обязаны обновить свои политики в течение 90 дней.
Изменения направлены на повышение безопасности и прозрачности инфраструктуры публичных ключей и обеспечение доверия к сертификационным центрам, особенно в контексте выпуска сертификатов для доменов .onion.
Подробнее: Securitylab.ru