3 марта Google объявила в своем блоге о своей инициативе «Движение вперёд, вместе», предлагая всем поддержать их инициативу по существенному сокращению сроков доверия удостоверяющим центрам сертификации.
Напомним, что это не первый шаг такого рода. Ранее корпорация уже выступала за сокращение сроков SSL-сертификатов. И все эти инициативы подчинены одной цели – Google последовательно борется за достижение полной автоматизации процесса выдачи, переоформления и продления сертификатов. Только автоматизация привнесёт в экосистему скорость, безопасность, стабильность и простоту, объясняют в Google. Именно на простоте процесса делает акцент компания, продвигая значимые изменения, которые касаются удостоверяющих центров (CA): www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together.
Google сообщает, что предлагаемые изменения уже находятся на рассмотрении членами рабочей группы CA/Browser Forum Server Certificate, что однако не мешает компании продолжать проводить опросы CCADB и собирать реакцию на предлагаемые изменения от владельцев CA. Так что же такого предлагает компания, рассказывая про поощрение современной структуры и гибкости:
— Сокращение максимального срока для корневых CA, чьи сертификаты включены в корневое хранилище Chrome.
O 30 годах доверия можно смело забыть. Предлагаемая продолжительность срока составляет всего семь лет, считая с начальной даты включения сертификата. Срок действия сертификатов CA, уже включенных в Chrome Root Store, начнётся, когда вступит в силу политика, вводящая требование. Владельцам CA рекомендуется подать заявку с заменой сертификата через пять лет после включения, который должен содержать открытый ключ субъекта, который ранее не распространялся Chrome Root Store. Введение ограничения срока действия для корневых CA позволит экосистеме воспользоваться постоянными усилиями по совершенствованию, предпринимаемыми сообществом Web PKI.
— Сокращение максимального срока действия для подчинённых CA.
По той же логике предлагаемое ограничение максимального срока действия сертификата подчиненного CA до трёх лет должно способствовать повышению гибкости в экосистеме за счёт более надежных методов эксплуатации, снижению зависимости экосистемы от конкретных сертификатов подчинённых CA, которые могут представлять собой единые точки отказа, и препятствовать потенциально опасным методам, таким как привязка ключей.
— Сокращение максимального срока действия сертификата подписчика аутентификации сервера TLS с 398 до 90 дней.
Короткий срок побуждает всех участников автоматизировать процесс, что должно избавить экосистему от причудливых, трудоёмких и подверженных ошибкам процессов ручной выдачи. Сокращение срока действия сертификата также уменьшит зависимость экосистемы от сбоев при отзывах, что нарушает целостность защиты.
Google также предлагает сделать необязательными сервисы Online Certificate Status Protocol (OCSP) из-за случайных или преднамеренных раскрытий (например, из-за утечки данных в журналах или из-за повестки в суд).
Интернет-гигант отмечает, что многоцелевые корневые центры сталкиваются с новой реальностью и необходимостью в сжатые сроки удовлетворять многочисленные наборы требований абонентов. С этой точки зрения снижение сложности Web PKI полезно для повышения безопасности и стабильности экосистемы. В качестве ориентира Google приводит требование, которое может появиться в будущем обновлении политики или бюллетене CA/Browser Forum:
Ограничить значение extendedKeyUsage в новых подчинённых CA и сертификатах подписчика аутентификации сервера TLS только значением «id-kp-serverAuth». Изменение определения выделенной иерархии PKI TLS для запрета использования других значений extendedKeyUsage (т. е. id-kp-clientAuth) в новых сертификатах CA, способных выдавать сертификаты сервера TLS, более тесно согласовывает практику CA с вариантами использования веб-браузера (т. е. на сайты). Кроме того, он устраняет риск и непреднамеренные последствия других вариантов использования (например, IoT) от негативного влияния на аутентификацию веб-сайта.
Предлагаемые изменения тесно связаны с желанием Google поэтапно отказаться от существующих многоцелевых корневых сертификатов CA, включённых в корневой магазин Chrome, так чтобы Chrome Root Store в будущем принимал только сертификаты корневого центра сертификации кандидатов, которые являются частью иерархии PKI, предназначенной для выдачи сертификатов аутентификации сервера TLS.
Стремление к простоте и автоматизации всего процесса побуждает компанию активно продвигать открытую среду автоматического управления сертификатами (ACME, RFC 8555), которая без проблем позволяет запрашивать, выдавать, устанавливать и постоянно обновлять сертификаты аутентификации сервера во многих реализациях веб-серверов с обширным набором хорошо документированных параметров клиента, охватывающих несколько языков и платформ. Сегодня более 50% сертификатов, выдаваемых Web PKI, основаны на ACME. Кроме того, примерно 95% сертификатов, выдаваемых Web PKI сегодня, выпускаются владельцем ЦС с той или иной формой существующей реализации ACME, доступной для клиентов. И спрос, согласно опросу, проведённому Chrome Root Program, только растёт.
Поэтому неудивительно, что Google планирует ввести требования, которым должны соответствовать все заявители Chrome Root Store:
— быть частью иерархий PKI, которые предлагают услуги ACME для выпуска и управления сертификатами аутентификации сервера TLS.
— поддерживать ACME Renewal Information (ARI, Draft RFC ) для дальнейшего повышения гибкости экосистемы.
С включенным ARI владельцы CA смогут уменьшить негатив для клиентов, вызванный незапланированным отзывом, улучшить управление рутинными действиями по обновлению сертификатов (например, избежать того, чтобы значительная часть сертификатов обновлялась в узком интервале времени и позволить центру сертификации сообщить предпочтительное расписание и пройти поэтапное обновление, экономя ресурсы).
Готова ли индустрия к подобным изменениям уже сегодня, сказать сложно. Но очевидно, что все участники сообщества Web PKI понимают их важность.
Оптимизация и совершенствование методов проверки доменов также являются важными для Google. В своём блоге компания продвигает многообещающую технологию Multi-perspective Domain Validation (иногда называемую Multi-Vantage-Point Domain Validation ), позволяющую проводить проверку домена из нескольких географических местоположений или интернет-провайдеров, чтобы снизить вероятность применения маршрутизирующей атаки (например, перехват BGP) для мошеннического выпуска сертификатов аутентификации сервера TLS.
С целью повышения защиты доменов Google также предлагает в будущем обновлении политики или предложении бюллетеня форума CA/Browser
— сокращение периодов повторного использования проверки домена, а также сокращение максимально допустимого срока действия сертификата проверки подлинности сервера TLS с 398 до 90 дней.
— требования к владельцам CA выполнять проверку домена и проверку записей CAA с нескольких точек зрения.
Безусловно, все озвученные предложения являются также шагами в подготовке к «постквантовому» миру, которое сообщество Web PKI и рабочие группы CA/Browser Forum приближают всеми силами.
Нам же, как участникам этого процесса, необходимо держать руку на пульсе, быть в курсе событий и всегда соответствовать новым требованиям.
Напомним, что это не первый шаг такого рода. Ранее корпорация уже выступала за сокращение сроков SSL-сертификатов. И все эти инициативы подчинены одной цели – Google последовательно борется за достижение полной автоматизации процесса выдачи, переоформления и продления сертификатов. Только автоматизация привнесёт в экосистему скорость, безопасность, стабильность и простоту, объясняют в Google. Именно на простоте процесса делает акцент компания, продвигая значимые изменения, которые касаются удостоверяющих центров (CA): www.chromium.org/Home/chromium-security/root-ca-policy/moving-forward-together.
Google сообщает, что предлагаемые изменения уже находятся на рассмотрении членами рабочей группы CA/Browser Forum Server Certificate, что однако не мешает компании продолжать проводить опросы CCADB и собирать реакцию на предлагаемые изменения от владельцев CA. Так что же такого предлагает компания, рассказывая про поощрение современной структуры и гибкости:
— Сокращение максимального срока для корневых CA, чьи сертификаты включены в корневое хранилище Chrome.
O 30 годах доверия можно смело забыть. Предлагаемая продолжительность срока составляет всего семь лет, считая с начальной даты включения сертификата. Срок действия сертификатов CA, уже включенных в Chrome Root Store, начнётся, когда вступит в силу политика, вводящая требование. Владельцам CA рекомендуется подать заявку с заменой сертификата через пять лет после включения, который должен содержать открытый ключ субъекта, который ранее не распространялся Chrome Root Store. Введение ограничения срока действия для корневых CA позволит экосистеме воспользоваться постоянными усилиями по совершенствованию, предпринимаемыми сообществом Web PKI.
— Сокращение максимального срока действия для подчинённых CA.
По той же логике предлагаемое ограничение максимального срока действия сертификата подчиненного CA до трёх лет должно способствовать повышению гибкости в экосистеме за счёт более надежных методов эксплуатации, снижению зависимости экосистемы от конкретных сертификатов подчинённых CA, которые могут представлять собой единые точки отказа, и препятствовать потенциально опасным методам, таким как привязка ключей.
— Сокращение максимального срока действия сертификата подписчика аутентификации сервера TLS с 398 до 90 дней.
Короткий срок побуждает всех участников автоматизировать процесс, что должно избавить экосистему от причудливых, трудоёмких и подверженных ошибкам процессов ручной выдачи. Сокращение срока действия сертификата также уменьшит зависимость экосистемы от сбоев при отзывах, что нарушает целостность защиты.
Google также предлагает сделать необязательными сервисы Online Certificate Status Protocol (OCSP) из-за случайных или преднамеренных раскрытий (например, из-за утечки данных в журналах или из-за повестки в суд).
Интернет-гигант отмечает, что многоцелевые корневые центры сталкиваются с новой реальностью и необходимостью в сжатые сроки удовлетворять многочисленные наборы требований абонентов. С этой точки зрения снижение сложности Web PKI полезно для повышения безопасности и стабильности экосистемы. В качестве ориентира Google приводит требование, которое может появиться в будущем обновлении политики или бюллетене CA/Browser Forum:
Ограничить значение extendedKeyUsage в новых подчинённых CA и сертификатах подписчика аутентификации сервера TLS только значением «id-kp-serverAuth». Изменение определения выделенной иерархии PKI TLS для запрета использования других значений extendedKeyUsage (т. е. id-kp-clientAuth) в новых сертификатах CA, способных выдавать сертификаты сервера TLS, более тесно согласовывает практику CA с вариантами использования веб-браузера (т. е. на сайты). Кроме того, он устраняет риск и непреднамеренные последствия других вариантов использования (например, IoT) от негативного влияния на аутентификацию веб-сайта.
Предлагаемые изменения тесно связаны с желанием Google поэтапно отказаться от существующих многоцелевых корневых сертификатов CA, включённых в корневой магазин Chrome, так чтобы Chrome Root Store в будущем принимал только сертификаты корневого центра сертификации кандидатов, которые являются частью иерархии PKI, предназначенной для выдачи сертификатов аутентификации сервера TLS.
Стремление к простоте и автоматизации всего процесса побуждает компанию активно продвигать открытую среду автоматического управления сертификатами (ACME, RFC 8555), которая без проблем позволяет запрашивать, выдавать, устанавливать и постоянно обновлять сертификаты аутентификации сервера во многих реализациях веб-серверов с обширным набором хорошо документированных параметров клиента, охватывающих несколько языков и платформ. Сегодня более 50% сертификатов, выдаваемых Web PKI, основаны на ACME. Кроме того, примерно 95% сертификатов, выдаваемых Web PKI сегодня, выпускаются владельцем ЦС с той или иной формой существующей реализации ACME, доступной для клиентов. И спрос, согласно опросу, проведённому Chrome Root Program, только растёт.
Поэтому неудивительно, что Google планирует ввести требования, которым должны соответствовать все заявители Chrome Root Store:
— быть частью иерархий PKI, которые предлагают услуги ACME для выпуска и управления сертификатами аутентификации сервера TLS.
— поддерживать ACME Renewal Information (ARI, Draft RFC ) для дальнейшего повышения гибкости экосистемы.
С включенным ARI владельцы CA смогут уменьшить негатив для клиентов, вызванный незапланированным отзывом, улучшить управление рутинными действиями по обновлению сертификатов (например, избежать того, чтобы значительная часть сертификатов обновлялась в узком интервале времени и позволить центру сертификации сообщить предпочтительное расписание и пройти поэтапное обновление, экономя ресурсы).
Готова ли индустрия к подобным изменениям уже сегодня, сказать сложно. Но очевидно, что все участники сообщества Web PKI понимают их важность.
Оптимизация и совершенствование методов проверки доменов также являются важными для Google. В своём блоге компания продвигает многообещающую технологию Multi-perspective Domain Validation (иногда называемую Multi-Vantage-Point Domain Validation ), позволяющую проводить проверку домена из нескольких географических местоположений или интернет-провайдеров, чтобы снизить вероятность применения маршрутизирующей атаки (например, перехват BGP) для мошеннического выпуска сертификатов аутентификации сервера TLS.
С целью повышения защиты доменов Google также предлагает в будущем обновлении политики или предложении бюллетеня форума CA/Browser
— сокращение периодов повторного использования проверки домена, а также сокращение максимально допустимого срока действия сертификата проверки подлинности сервера TLS с 398 до 90 дней.
— требования к владельцам CA выполнять проверку домена и проверку записей CAA с нескольких точек зрения.
Безусловно, все озвученные предложения являются также шагами в подготовке к «постквантовому» миру, которое сообщество Web PKI и рабочие группы CA/Browser Forum приближают всеми силами.
Нам же, как участникам этого процесса, необходимо держать руку на пульсе, быть в курсе событий и всегда соответствовать новым требованиям.
