9 распространенных мифов о центрах сертификации

Мифы о центрах сертификации


С годами заблуждений о центрах сертификации и инфраструктуре SSL становится все больше. Предлагаем вашему вниманию список распространенных мифов об SSL и центрах сертификации, опубликованный Советом безопасности центров сертификации (CASC). GlobalSign и другие члены CASC твердо намерены исправить эту ситуацию и опровергнуть мифы о своей отрасли.

Миф: Центры сертификации никто не контролирует

Факт: В отношении центров сертификации применяются многочисленные меры и методы проверок, в том числе аудит квалифицированными третьими сторонами по стандартам WebTrust или ETSI. Также ведущие производители браузеров устанавливают строгие критерии для включения центра сертификации в свой список корневых сертификатов. Кроме того, существуют базовые требования и рекомендации по сетевой безопасности, в которых Форум CA/B устанавливает глобальные стандарты по выдаче сертификатов и методам контроля центров сертификации. Эти рекомендации будут скоро включены в стандарты для проверок, проводимых третьими сторонами. Производители браузеров могут по своему усмотрению использовать эти рекомендации и исключать из своего списка корневых сертификатов те центры сертификации, которые им не соответствуют.

Миф: Центры сертификации бесполезны

Факт: Уже два десятилетия центры сертификации выполняют важную функцию обеспечения доверия в интернете, используя строгие методы проверки заявок на выдачу сертификатов. Эти методы проверки включают подтверждение прав собственности на домен, проверку регистрационных документов организации, личностей заявителей и их прав на запрос сертификатов от имени соответствующей организации, а также других официальных документов. Центры сертификации уделяют огромное внимание защите центров данных и своей деятельности, обучению сотрудников и применению самых современных методов проверки и выдачи сертификатов, применяют стандартные для отрасли периодические тесты на наличие уязвимостей и возможности проникновения, а также проводят ежегодные аудиты независимыми сторонами. Самоподписанные сертификаты (выданные без утверждения центром сертификации) позволяют шифровать передачу данных на сайт и с сайта, но не гарантируют подлинность сайта.

Миф: Все типы сертификатов, выдаваемых центрами сертификации, одинаковы

Факт: Центры сертификации предлагают разные типы сертификатов для разных целей. Сюда входят SSL-сертификаты для защиты онлайн-транзакций, сертификаты подписи кода, защищающие приложения от неавторизованных изменений и вредоносного ПО, сертификаты S/MIME для аутентификации при обмене почтовыми сообщениями, а также заверяемые клиентом сертификаты, используемые в корпоративных системах PKI.

Кроме того, центры сертификации применяют для SSL-сертификатов разные уровни проверки. В зависимости от типа сертификата центр сертификации может проверять следующие данные:
• зарегистрирован ли домен на ту организацию, которая обращается за сертификатом (сертификат DV);
• является ли организация зарегистрированным юридическим лицом и имеет ли право человек, обращающийся за сертификатом, выполнять такие действия от имени этой организации (сертификат OV);
• имеет ли организация проверенный номер телефона, допустимый юридический адрес и проверенную систему подачи заявок (сертификат EV);
• сертификаты EV и OV содержат в поле «организация» информацию, идентифицирующую владельца сертификата.

Миф: Центры сертификации обособлены, медлительны и не готовы применять изменения, необходимые для протокола SSL

Факт: Этот распространенный миф активно продвигается теми, кто заинтересован в развитии других моделей работы и фактически борется с центрами сертификации. Члены совета CASC совместно участвуют в работе многих десятков отраслевых организаций, устанавливающих стандарты, образовательных учреждений и исследовательских центров, а также постоянно содействуют подготовке предложений и принятию стандартов. Члены CASC активно сотрудничают с производителями браузеров, доверяющими сторонами и другими заинтересованными лицами, способствуя повышению безопасности интернета путем принятия практичных и продуманных мер и проведения совместных исследований. Значительная часть этого сотрудничества проходит на открытых площадках, например, в ходе дискуссий Форума CA/B.
Миф: Система SSL не функциональна и не подлежит восстановлению, для онлайн-аутентификации требуется новое решение
Факт: Протокол SSL подтвердил свою выдающуюся надежность, и SSL-сертификаты остаются на данный момент самой надежной и самой масштабируемой криптографической системой. Известные инциденты существенного нарушения безопасности связаны скорее с недостаточно надежными методами контроля на уровне организаций, чем с системными проблемами. Члены CASC стремятся укреплять глобальные стандарты, чтобы снизить риск подобных инцидентов в будущем. Ни одна из систем безопасности не дает стопроцентную гарантию защиты, поскольку угрозы постоянно меняются. Поэтому оптимальным следует считать путь постоянного внесения практичных и масштабируемых модификаций в существующие системы. Нет смысла заменять общедоступные доверенные центры сертификации непроверенными технологиями ограниченного применения.

Миф: Система SSL устарела и имеет слишком много уязвимостей, чтобы продержаться долгое время

Факт: Сертификаты общедоступных доверенных центров сертификации на протяжении почти двух десятилетий служат гарантом безопасности в интернете, и сейчас это самый надежный, проверенный и масштабируемый метод защиты онлайн-транзакций. Центры сертификации в сотрудничестве с производителями браузеров и другими партнерами работают над расширением протокола SSL и внедрением дополнительных возможностей, которые позволят устранять новые угрозы и защищать всех пользователей.

Миф: Существует более 600 центров сертификации, и за всеми уследить невозможно, при том что сертификаты SSL — это обычный товар

Факт: В мире существуют сотни промежуточных центров сертификации, но в хранилище корневых сертификатов Mozilla присутствуют лишь 65 частных издателей корневых сертификатов. Более 99% всех выпущенных SSL-сертификатов являются производными от корневых сертификатов семи крупнейших провайдеров. Каждая из этих ведущих компаний проходит аудиты WebTrust аккредитованными независимыми бухгалтерскими фирмами и соблюдает все стандарты, установленные Форумом CA/B и другими организациями. Каждый центр сертификации отвечает за свою работу перед клиентами и операторами корневых сертификатов браузеров. Благодаря тому, что во главе отрасли стоят ответственные центры сертификации, система SSL постоянно опережает возникающие угрозы. Среди примеров недавних улучшений можно вспомнить прекращение использования внутренних имен узлов, развертывание SHA-2 и 2048-битных сертификатов, а также более строгие рекомендации по защите. Центры сертификации способны развиваться, и это гарантирует защиту интернета на много лет вперед.

Миф: Система отзыва сертификатов не нужна или работает плохо. Ее преимущества не перевешивают создаваемые проблемы с использованием браузеров.

Факт: Отзыв сертификатов играет ключевую роль в экосистеме SSL. Это важнейший инструмент, позволяющий определить, стоит ли доверять конкретному сертификату. Каждый день на серверы отзыва сертификатов, размещенные по всему миру, направляются миллиарды запросов о статусе сертификатов. Эти серверы сообщают браузерам, какие из сертификатов уже не действительны. Это позволяет защищать пользователей, поскольку браузеры всегда имеют актуальную информацию об угрозах и проблемах во всем мире. Члены CASC в сотрудничестве с браузерами и другими партнерами работают над улучшением существующих методов и разрабатывают новую систему отзыва сертификатов, которая позволит лучше сбалансировать эффективность и надежность, чтобы сохранить обстановку доверия для всех пользователей интернета.

Миф: Центры сертификации совершенно не заинтересованы в инновациях и внесении необходимых изменений.

Факт: Центры сертификации более, чем кто-либо, заинтересованы во внедрении необходимых изменений, и совместно работают над улучшением системы SSL. Для каждого центра сертификации его репутация является необходимым условием выживания. Поэтому члены CASC много работают над развитием своей отрасли и поддерживают агрессивный и эффективный подход к развитию своих и клиентских систем. Недавно принятые обязательные к использованию стандарты (и те, которые сейчас обсуждаются) включают в себя следующее:
• базовые требования;
• рекомендации по защите сетей;
• сертификаты EV для подписи кода и развитие стандартов SSL EV.

Это копия публикации Совета безопасности центров сертификации, членом которого является GlobalSign. Оригинал статьи размещен по адресу https://casecurity.org/myths/