Мифы об удостоверяющих центрах
С годами заблуждений об удостоверяющих центрах и инфраструктуре SSL становится все больше. Предлагаем вашему вниманию список распространенных мифов об SSL и удостоверяющих центрах, опубликованный Советом безопасности центров сертификации (CASC). GlobalSign и другие члены CASC твердо намерены исправить эту ситуацию и опровергнуть мифы о своей отрасли.
Миф: Удостоверяющие центры никто не контролирует
Факт: В отношении удостоверяющих центров применяются многочисленные меры и методы проверок, в том числе аудит квалифицированными третьими сторонами по стандартам WebTrust или ETSI. Также ведущие производители браузеров устанавливают строгие критерии для включения удостоверяющего центра в свой список корневых сертификатов. Кроме того, существуют базовые требования и рекомендации по сетевой безопасности, в которых Форум CA/B устанавливает глобальные стандарты по выдаче сертификатов и методам контроля удостоверяющих центров. Эти рекомендации будут скоро включены в стандарты для проверок, проводимых третьими сторонами. Производители браузеров могут по своему усмотрению использовать эти рекомендации и исключать из своего списка корневых сертификатов те удостоверяющие центры, которые им не соответствуют.
Миф: Удостоверяющие центры бесполезны
Факт: Уже два десятилетия удостоверяющие центры выполняют важную функцию обеспечения доверия в интернете, используя строгие методы проверки заявок на выдачу сертификатов. Эти методы проверки включают подтверждение прав собственности на домен, проверку регистрационных документов организации, личностей заявителей и их прав на запрос сертификатов от имени соответствующей организации, а также других официальных документов. Удостоверяющие центры уделяют огромное внимание защите своих дата центров и внутренней деятельности, обучению сотрудников и применению самых современных методов проверки и выдачи сертификатов, применяют стандартные для отрасли периодические тесты на наличие уязвимостей и возможности проникновения, а также проводят ежегодные аудиты независимыми сторонами. Самоподписанные сертификаты (выданные без утверждения удостоверяющего центром) позволяют шифровать передачу данных на сайт и с сайта, но не гарантируют подлинность сайта.
Миф: Все типы сертификатов, выдаваемых удостоверяющими центрами, одинаковы
Факт: Удостоверяющие центры предлагают разные типы сертификатов для разных целей. Сюда входят SSL-сертификаты для защиты онлайн-транзакций, сертификаты подписи кода, защищающие приложения от неавторизованных изменений и вредоносного ПО, сертификаты S/MIME для аутентификации при обмене почтовыми сообщениями, а также заверяемые клиентом сертификаты, используемые в корпоративных системах PKI.
Кроме того, удостоверяющие центры применяют для SSL-сертификатов разные уровни проверки. В зависимости от типа сертификата центр сертификации может проверять следующие данные:
- зарегистрирован ли домен на ту организацию, которая обращается за сертификатом (сертификат DV);
- является ли организация зарегистрированным юридическим лицом и имеет ли право человек, обращающийся за сертификатом, выполнять такие действия от имени этой организации (сертификат OV);
- имеет ли организация проверенный номер телефона, допустимый юридический адрес и проверенную систему подачи заявок (сертификат EV);
- сертификаты EV и OV содержат в поле «организация» информацию, идентифицирующую владельца сертификата.
Миф: Удостоверяющие центры медлительны и не готовы применять изменения, необходимые для протокола SSL
Факт: Этот распространенный миф активно продвигается теми, кто заинтересован в развитии других моделей работы и фактически борется с центрами сертификации. Члены совета CASC совместно участвуют в работе многих десятков отраслевых организаций, устанавливающих стандарты, образовательных учреждений и исследовательских центров, а также постоянно содействуют подготовке предложений и принятию стандартов. Члены CASC активно сотрудничают с производителями браузеров, доверяющими сторонами и другими заинтересованными лицами, способствуя повышению безопасности интернета путем принятия практичных и продуманных мер и проведения совместных исследований. Значительная часть этого сотрудничества проходит на открытых площадках, например, в ходе дискуссий Форума CA/B.
Миф: Система SSL не функциональна и не подлежит восстановлению, для онлайн-аутентификации требуется новое решение
Факт: Протокол SSL подтвердил свою выдающуюся надежность, и SSL-сертификаты остаются на данный момент самой надежной и самой масштабируемой криптографической системой. Известные инциденты существенного нарушения безопасности связаны скорее с недостаточно надежными методами контроля на уровне организаций, чем с системными проблемами. Члены CASC стремятся укреплять глобальные стандарты, чтобы снизить риск подобных инцидентов в будущем. Ни одна из систем безопасности не дает стопроцентную гарантию защиты, поскольку угрозы постоянно меняются. Поэтому оптимальным следует считать путь постоянного внесения практичных и масштабируемых модификаций в существующие системы. Нет смысла заменять общедоступные доверенные удостоверяющие центры непроверенными технологиями ограниченного применения.
Миф: Система SSL устарела и имеет слишком много уязвимостей, чтобы продержаться долгое время
Факт: Сертификаты общедоступных доверенных центров сертификации на протяжении почти двух десятилетий служат гарантом безопасности в интернете, и сейчас это самый надежный, проверенный и масштабируемый метод защиты онлайн-транзакций. Удостоверяющие центры в сотрудничестве с производителями браузеров и другими партнерами работают над расширением протокола SSL и внедрением дополнительных возможностей, которые позволят устранять новые угрозы и защищать всех пользователей.
Миф: Существует более 600 центров сертификации, и за всеми уследить невозможно, при том что сертификаты SSL — это обычный товар
Факт: В мире существуют сотни промежуточных центров сертификации, но в хранилище корневых сертификатов Mozilla присутствуют лишь 65 частных издателей корневых сертификатов. Более 99% всех выпущенных SSL-сертификатов являются производными от корневых сертификатов семи крупнейших провайдеров. Каждая из этих ведущих компаний проходит аудиты WebTrust аккредитованными независимыми бухгалтерскими фирмами и соблюдает все стандарты, установленные Форумом CA/B и другими организациями. Каждый удостоверяющий центр отвечает за свою работу перед клиентами и операторами корневых сертификатов браузеров. Благодаря тому, что во главе отрасли стоят ответственные удостоверяющие центры, система SSL постоянно опережает возникающие угрозы. Среди примеров недавних улучшений можно вспомнить прекращение использования внутренних имен узлов, развертывание SHA-2 и 2048-битных сертификатов, а также более строгие рекомендации по защите. Удостоверяющие центры способны развиваться, и это гарантирует защиту интернета на много лет вперед.
Миф: Система отзыва сертификатов не нужна или работает плохо. Ее преимущества не перевешивают создаваемые проблемы с использованием браузеров.
Факт: Отзыв сертификатов играет ключевую роль в экосистеме SSL. Это важнейший инструмент, позволяющий определить, стоит ли доверять конкретному сертификату. Каждый день на серверы отзыва сертификатов, размещенные по всему миру, направляются миллиарды запросов о статусе сертификатов. Эти серверы сообщают браузерам, какие из сертификатов уже не действительны. Это позволяет защищать пользователей, поскольку браузеры всегда имеют актуальную информацию об угрозах и проблемах во всем мире. Члены CASC в сотрудничестве с браузерами и другими партнерами работают над улучшением существующих методов и разрабатывают новую систему отзыва сертификатов, которая позволит лучше сбалансировать эффективность и надежность, чтобы сохранить обстановку доверия для всех пользователей интернета.
Миф: Удостоверяющие центры совершенно не заинтересованы в инновациях и внесении необходимых изменений.
Факт: Удостоверяющие центры более, чем кто-либо, заинтересованы во внедрении необходимых изменений, и совместно работают над улучшением системы SSL. Для каждого удостоверяющего центра его репутация является необходимым условием выживания. Поэтому члены CASC много работают над развитием своей отрасли и поддерживают агрессивный и эффективный подход к развитию своих и клиентских систем. Недавно принятые обязательные к использованию стандарты (и те, которые сейчас обсуждаются) включают в себя следующее:
- базовые требования;
- рекомендации по защите сетей;
- сертификаты EV для подписи кода и развитие стандартов SSL EV.
Это копия публикации Совета безопасности центров сертификации, членом которого является GlobalSign. Оригинал статьи размещен по адресу https://casecurity.org/myths/