CASC был организован два года назад основной АВАРИЕЙ SSL. Вот взор на то, что совет делает сейчас и что есть следующим для безопасности цифрового сертификата.
В феврале 2013 самые громадные полномочия сертификата SSL (АВАРИЯ) в мире объединились для Центра сертификации Совет Безопасности (CASC). С того времени CASC-чей участники включают GoDaddy, Comodo, DigiCert, Symantec, GlobalSign, Trustwave, Поручают, и Тренд продвигал государство защиты сертификатом.
«Мы начали как организацию, которая продвигала все вещи около цифровых сертификатов и SSL», сообщили Дин Коклин, главный директор, развитие бизнеса, Symantec, eWEEK. «Эта несколько о продвижении Защиты в Интернете и публично доверенных центров сертификации через защиту и образование».Вторая главная цель CASC пребывает в том, чтобы оказать помощь содействовать способам самая успешной практики для использования сертификатов и надлежащего выпуска АВАРИЕЙ, браузерами и другими заинтересованными сторонами.Начальное упрочнение, что CASC, запущенный с назад в 2013, был инициативой содействовать более широкому развертыванию сшивания Сетевого протокола состояния сертификата (OCSP). OCSP употребляется веб-браузерами для проверки законности сертификата Уровня защищенных сокетов (SSL) Сайта.
В большинстве случаев, браузер обязан будет узнать ответ от обслуживания OCSP, трудящегося на CA, не смотря на то, что это может возможно оказывать влияние на производительность. С сшиванием OCSP веб-сервер может проверить собственный собственное состояние сертификата с CA, что может тогда быть предоставлен браузерам конечного пользователя.
«Что мы видели, то, что сшивание OCSP трудится вправду отлично, но вывод сообщения администраторам сервера, так, они включают его, был тяжёлым и оспаривание», сообщил Уэйн Тейер, председатель совета директоров продуктов безопасности в GoDaddy, eWEEK. «Одна из вещей, которые мы постарались сделать, трудиться с поставщиками сервера для получения, сшивание OCSP включило по умолчанию».Thayer трудился с Базой ПО Apache, которая разрабатывает Apache веб-сервер HTTP, для продвижения сшивающей идеи по умолчанию OCSP. Но внесение трансформаций в Apache, веб-сервер HTTP возможно продолжительным процессом, сказал он.«Мы делаем удачи, но это будет требовать времени», сообщил Тейер. «Я полагаю, что, пока сшивание OCSP не есть настройкой по умолчанию в Apache, Nginx и других популярных веб-серверах, как это находится сейчас в Сервере информации об Интернете (IIS) Микрософт, у нас будет медленное внедрение».
При взоре сшивание OCSP существуют многократные длящиеся упрочнения в сообществе CA продвинуть национальную защиту сертификатом. Один из них известен как ДАТЧАНИН (основанная на DNS Аутентификация Именованных сущностей), что действенно применяет DNSSEC (безопасность DNS Расширения) как метод оказать помощь проверить подлинность.ДАТЧАНИН действенно применяет записи DNS для предоставления конкретных руководств браузеру, о котором определенная АВАРИЯ либо сертификаты приемлемы для данного Сайта, сообщил Тейер.
Второе находящееся на стадии становления упрочнение известно как Прикрепление открытого ключа HTTP (HPKP), которое поддерживается сейчас в Гугл Chrome и веб-браузерах Firefox Mozilla. С HPKP определенный криптографический открытый ключ связан либо «прикреплен» к определенному серверу в попытке сократить риск возможно мошеннических сертификатов.
«HPKP есть все еще проектом стандарта, но громадная неприятность с ним, это, для оператора весьма себе в ногу и облицевать сайт кирпичом», сообщил Тейер. «Устанавливая нехороший контакт, сайт прекратит трудиться».Но HPKP есть жизнеспособным вариантом для высокорисковых сайтов, сообщил он.CAA
Второе упрочнение, которое Сейчай находится в развитии, есть Авторизацией центра сертификации (CAA), которая разрешает оператору сайта опубликовать запись Совокупности доменных имен (DNS), которую CA проверяет прежде, чем выпустить сертификат. Часть работы, которая связана с CAA, делается на Форуме Браузера CA (Форум CAB). Запуская 15 апреля, АВАРИЯ подобающа публично национальный, что их политики находятся на проверке записей CAA.«Существуют удачи, сделанные для фактического приведения в выполнение CAA, и это оказывает помощь АВАРИИ, как это оказывает помощь им осознать, когда они имели возможность бы производить сертификат неправильно», сообщил Тейер. «Это оказывает помощь операторам сайта руководить, как certs выпущены для их сайта».
Прозрачность сертификата (CT) есть вторым упрочнением, которое продвигается для обеспечения дополнительной защиты сертификатом. Упрочнение по CT во главе с Гугл и включает применение лог-серверов CT, к которой АВАРИИ публикуют данные о сертификате.«Большая часть, если не все, АВАРИИ, которые являются частью CASC, которые производят Расширенные сертификаты Проверки, сейчас участвуют в Прозрачности Сертификата, публикуя все их сертификаты изданиям CT», сообщил Тейер.Внутренние имена
CASC также защищал в последних месяцах для устранения то, что известно как «Внутренние Имена» из сертификатов SSL. Внутренние Имена являются групповыми именами, которые распространены в локальных сетях, таких как «почта» либо «exchange.local». АВАРИЯ сейчас взяла полномочие не выпустить любой сертификат с Внутренним Именем, которое истекает после 1 ноября 2015. Помимо этого, АВАРИЯ взяла полномочие отменить все существующие Внутренние сертификаты Имени к 1 октября 2016.
«сертификаты и Групповые имена воображают настоящую угрозу безопасности, которую мы пробуем остановить для улучшения полной силы экосистемы SSL», сообщил Тейер.Будущее изучение
CASC также сейчас трудится над некоторым изучением о том, как информация о сертификате SSL просматривается пользователями браузера. Изучение происходит и будет публично выпущено в ближайшее время, сообщил Coclin Symantec.
«Нам весьма интересно в CASC о том, как люди ощущают вещи как EV [Расширенная Проверка] сертификаты и связанный зеленый запрет в браузере и значит ли это вправду что-то для них», сообщил Коклин. «Принципиально важно узнать, в случае если пользователи уважают предупреждения либо если они просто щелкают через них».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.