GlobalSign Blog

18 Jan 2018

Was ist das CA/Browser-Forum?

In der Regel erhalten wir nach einer Ankündigung von Änderungen des CA/Browser Forums viele Fragen - Wer sind die, die diese Anforderungen stellen? Wer ist diese mysteriöse "allmächtige Kraft" hinter diesen ganzen Änderungen?

Im Großen und Ganzen ist das CA/Browser Forum ein aus Zertifizierungsstellen (CAs) und Webbrowsern bestehendes Industriegremium mit dem Ziel, "Best Practices in der Branche zu verbessern, um die Nutzung von Zertifikaten zum Vorteil der Internetnutzer und der Sicherheit ihrer Kommunikation zu verbessern."

Jetzt wissen Sie also, wer dahinter steckt. Um mehr darüber zu erfahren, wie das Forum arbeitet und warum sie die Änderungen vornehmen, sind wir direkt an die Quelle gegangen - Doug Beattie, VP Product Management bei GlobalSign und seit drei Jahren aktives Mitglied des CA/Browser Forums.

Doug

Hallo Doug!

CAs und Browser bilden die Mehrheit des CA/Browser-Forums. Welche Rolle spielt jede Partei bei der Informationssicherheit im Web?

Zertifizierungsstellen (CAs)

CAs sind dafür verantwortlich, die Anforderungen und Standards der Branche bei der Ausstellung von Zertifikaten zu befolgen. Einer der Schwerpunkte ist die Validierung der Zertifikatinformationen und das Herausfiltern von Anträgen, die wie Phishing-Websites aussehen. Dieser Prozess ist als Vetting (Überprüfung) bekannt.

Es ist wichtig, sorgfältig dabei zu sein, für wen wir Zertifikate ausstellen und darauf zu achten, dass wir Best Practices der Sicherheit für ein sichereres und geschütztes Web befolgen. Diese sind in den Baseline Requirements festgelegt, die besagen, dass alle CAs Hochrisikoüberprüfungen implementieren müssen, um sicherzustellen, dass sie Zertifikatanträge überprüfen, wenn sie verdächtig scheinen. Aus diesem Grund haben wir (GlobalSign) einen Phishing-Filter, der regelmäßig anhand neuer Informationen aktualisiert wird. Dies ist auch ein Grund für die anstehende CAA-Anforderung (Certificate Authority Authorization), mit der Domaininhaber angeben können, welche Zertifizierungsstellen Zertifikate an die Domain/s ausstellen können (Hinweis: mehr zu CAA finden Sie weiter unten im Post).

Wir alle spielen eine Rolle bei der Internetsicherheit. Daher sollten CAs vorsichtig sein, wenn sie sagen: "Internetsicherheit ist nicht unser Problem. Wir stellen nur Zertifikate aus." Wir sind nicht dafür verantwortlich, Hacker zu jagen und zu verhaften. Aber wir haben sicherlich eine Rolle zu spielen und sollten unser Bestes geben, um sicherzustellen, dass wir Zertifikate für die Guten und nicht die Bösen (so viele wie möglich) ausstellen.

Browser

Browser sind die letzte Verteidigungslinie und die ultimative Benutzeroberfläche, wenn man über HTTPS eine Verbindung zu Websites herstellt. Daher ist ihre Darstellung der Website für die Sicherheit entscheidend. In den letzten zwei Jahren gab es viele Änderungen bei der Darstellung SSL-gesicherter Websites, wie z.B. die einzigartige Aufbereitung, die gelbe Warnungen, rote Schlösser usw. umfasste, die zum Auslaufen von SHA-1 führte,.

Angesichts so vieler Veränderungen in letzter Zeit, kann es für Unternehmen und Verbraucher verwirrend sein, was dies bedeutet und wie sie dies interpretieren sollen. Ich hoffe, dass Browser sich auf einen Konsens bei der UI für SSL einigen können, um es Benutzern einfacher zu machen, zu erkennen, welchen Sites sie vertrauen können (und Unternehmen zu erkennen, welche SSL-Stufe sie benötigen).

Beispielsweise zeigen derzeit alle gängigen Browser den Unternehmensnamen normalerweise grün in der URL-Leiste an, wenn eine Website ein Extended Validation (EV) SSL-Zertifikat verwendet. Diese einfache, übliche Benutzeroberfläche erleichtert es den Nutzern, das Unternehmen zu sehen, das die Website betreibt, um sie von Betrüger- oder Phishing-Sites unterscheiden zu können. Meiner Meinung nach wäre es großartig, einen ähnlichen Ansatz für Domain Validated (DV) und Organization Validated (OV) SSL-Zertifikate zu sehen - eine gemeinsame UI-Behandlung, damit Benutzer wissen, ob die Site DV oder OV verwendet, wobei OV idealerweise eine höhere Sicherheit aufgrund der zusätzlichen Validierungsprüfungen, die erforderlich sind, um das Zertifikat zu erhalten, anzeigt.

Wie arbeitet GlobalSign mit dem CA/Browser Forum zusammen, um die Regeln und Vorschriften für ein vertrauenswürdiges Internet festzulegen?

Wir sind einer der vielen Teilnehmer, die gemeinsam an der Definition von neuen Standards und Anforderungen arbeiten. Es gab zwei Bereiche, in denen wir in letzter Zeit stark involviert waren:

1. Domain-Validierungsmethoden

Zuerst waren wir sehr aktiv bei der Definition der aktualisierten Domain-Validierungsmethoden, die in Ballot 169 verabschiedet wurden. Wir haben über ein Jahr lang an der Validierungsarbeitsgruppe teilgenommen, um diese Methoden zur Domainvalidierung zu definieren, mit dem Ziel, deren Gesamtsicherheit zu verbessern. Wir haben die Sicherheit in der Liste der Methoden verschärft und das Schlupfloch entfernt, das es den CAs gestattete, dass ihre Beurteilung mit "gleichwertigen" Methoden aufwartet zu benutzen.

2. Maximale SSL-Gültigkeitsdauern

Wir waren auch an Diskussionen und Abstimmungen im Zusammenhang mit der Verkürzung der maximalen Gültigkeitsdauer von SSL-Zertifikaten beteiligt. Die von Google eingebrachte Abstimmung, die Gültigkeitsdauer auf ein Jahr zu verkürzen, wurde nach einer langen Debatte abgelehnt. Aber wir verstehen den Wert von Gültigkeitsdauern von weniger als drei Jahren.

Als Reaktion darauf haben wir geholfen, eine Abstimmung einzubringen, die maximale Gültigkeitsdauer auf zwei Jahre zu verkürzen, die vor Kurzem verabschiedet wurde. Wir halten dies für einen guten Kompromiss zwischen den Risiken längerer Gültigkeitsdauern und den Auswirkungen auf die Unternehmen, die die Zertifikate und häufigeren Erneuerungen verwalten müssen.

Was gehört zum Aufstellen neuer Anforderungen?

Jeder im CA/Browser-Forum kann Diskussionsvorschläge an die Mitgliederbasis einbringen. Wenn ein allgemeiner Konsens erreicht ist, dass die vorgeschlagene Änderung der Sicherheit oder den Aktionen in irgendeiner Weise zugutekommt, kann der Einzelne eine Abstimmung mit der definierten detaillierten Änderung einbringen. Dies beinhaltet eine klare Beschreibung des Problems, wie die vorgeschlagene Änderung dieses lösen wird und eine Anmerkung oder Abgrenzung zur alten Anforderung.

Es bleibt mindestens eine Woche Zeit zur Diskussion. Dann geht die Abstimmung sofort in die einwöchige Abstimmungszeit über, vorausgesetzt, es gibt keine wesentlichen Änderungen während der Diskussionszeit. Komplexere Themen werden oft bei den dreimal im Jahr abgehaltenen persönlichen Treffen besprochen, bei denen man viele der wichtigsten Teilnehmer zusammen hat und eine aktive Diskussion über das Für und Wider führen kann und was die Leute gerne als eine vorgeschlagene oder empfohlene Änderung sehen würden.

Gibt es andere Änderungen, von denen wir wissen sollten?

Sie können die aktuellen Initiativen und Abstimmungen oder die öffentliche E-Mail-Liste aktiv beobachten, um auf dem Laufenden zu bleiben.

Hier sind zwei aktuelle Änderungen, die Sie kennen sollten:

1. Certificate Authority Authorization (CAA)

Die erste ist die verpflichtende Implementierung der CAA (Certificate Authority Authorization) durch Zertifizierungsstellen ab dem 7. September 2017.  Domaininhaber können CAA-DNS-Einträge erstellen, in denen die CAs aufgeführt sind, denen sie erlauben, Zertifikate für die Domain auszustellen.

Wenn in diesem Modell eine Domain einen CAA-Eintrag oder Einträge hätte und keiner dieser Einträge globalsign.com als zulässigen Aussteller enthalten würde, dann wäre es GlobalSign untersagt, ein Zertifikat für diese Domain (oder Subdomain) auszustellen. CAA ist seit einigen Jahren optional, aber der volle Nutzen von CAA kann erst dann realisiert werden, wenn alle CAs es implementieren.

2. Certificate Transparency (CT)

Google verlangt seit Anfang 2015 Certificate Transparency (CT) für EV-Zertifikate und erweitert dies ab April 2018 auf alle SSL-Zertifikate. Das zuerst angekündigte Datum war Oktober 2017, wurde aber dann geändert. Obwohl dies kein CA/Browser-Forum Requirement ist, ist es aber eine globale CA-Anforderung, wenn deren Zertifikate vom Google Chrome-Browser als vertrauenswürdig eingestuft werden sollen.

Die sechsmonatige Verzögerung wird dazu beitragen, die Reife der CT-Logginginfrastruktur zu verbessern.  Wir konnten beobachten, dass einige CT-Logs online gehen und dann nicht funktionieren. Dies kann dazu führen, dass einige Zertifikate ihren qualifizierten Status verlieren und Besucher der Website beängstigende "nicht sichere" Warnungen sehen.

Die neue Anforderung bedeutet, dass jeder, der ein SSL-Zertifikat benötigt, um von Chrome (das derzeit einen Marktanteil von mehr als 60% hat) als vertrauenswürdig anerkannt zu werden, Zertifikate verwenden muss, die mit der CT-Richtlinie von Google konform sind. Einige Unternehmen, die ihre Zertifikate nicht öffentlich veröffentlichen wollen, müssen sich für die beste Vorgehensweise entscheiden. Möglicherweise stellen sie keine öffentlich vertrauenswürdigen Zertifikate aus, die mit der Google-CT-Richtlinie konform sind. Ihre Mitarbeiter verwenden möglicherweise nicht die Standardversion von Chrome, oder sie benötigen möglicherweise Zertifikate aus einer privaten Hierarchie. GlobalSign hat dafür eine Lösung namens IntranetSSL, wenn Sie es benötigen.

Das war's schon - die Wahrheit über das "mysteriöse" CA/Browser Forum ... Es ist gar nicht so mysteriös, oder? Wenn Sie mehr über das CA/Browser-Forum oder darüber, wie sich dessen Baseline Requirements und Standards auf Sie auswirken, wissen möchten, fragen Sie uns einfach!

Artikel teilen

Jetzt Blog abonnieren