CA/Browser Forum
CA/Browser Forum — это международная добровольная организация, объединяющая центры сертификации (Certificate Authorities, CA) и разработчиков браузеров и операционных систем (Browser/OS Vendors). Основная цель форума — разработка и поддержание открытых стандартов и правил (базовых требований), которым должны соответствовать центры сертификации, чтобы их цифровые сертификаты признавались доверенными в веб-браузерах и других клиентских приложениях. Организация является ключевым органом, определяющим технические и аудиторские требования для инфраструктуры открытых ключей (PKI), используемой в Интернете, в первую очередь для протокола HTTPS.
История
Предпосылки создания
До середины 2000-х годов каждый производитель браузеров устанавливал собственные, часто закрытые, критерии для включения корневых сертификатов центров сертификации в свои списки доверия. Это приводило к фрагментации правил, отсутствию единых стандартов безопасности и затрудняло аудит. В 2005 году после ряда инцидентов, связанных с выпуском мошеннических сертификатов (например, для домена Microsoft), возникла острая необходимость в унификации требований.
Основание и ранние годы
Форум был основан в 2005 году представителями нескольких крупных центров сертификации (включая VeriSign, Entrust, Comodo) и компаний-разработчиков браузеров (Microsoft, Mozilla, Opera). Первоначально организация называлась CA/Browser Forum и носила неформальный характер. Первым значимым результатом работы стало принятие в 2007 году документа Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates (Базовые требования, BR). Этот документ впервые зафиксировал минимальные обязательные правила для всех CA, чьи сертификаты распознаются браузерами.
Развитие и расширение
В 2012 году форум был формализован как юридическое лицо (некоммерческая корпорация в штате Виргиния, США), что позволило ему принимать более структурированные решения и управлять интеллектуальной собственностью. В последующие годы организация расширила сферу деятельности, включив в неё:
- Расширенную валидацию (EV): разработка Guidelines for Extended Validation Certificates (EV Guidelines).
- Срок действия сертификатов: постепенное сокращение максимального срока действия сертификатов (с 8 лет до 1 года для некоторых типов).
- Вопросы безопасности: внедрение требований к проверке домена (Domain Validation), криптографической стойкости ключей и обязательному аудиту.
Структура и управление
Членство
Форум состоит из двух основных категорий членов:
- Центры сертификации (CA): организации, выпускающие публично доверенные сертификаты. Для вступления CA должен соответствовать Базовым требованиям и пройти аудит.
- Производители браузеров/ОС (Browser/OS Vendors): компании, управляющие программами корневых сертификатов (Root Store Programs). Ключевые участники: Google (Chrome), Mozilla (Firefox), Apple (Safari, iOS), Microsoft (Edge, Windows), Opera. Именно они обладают правом голоса при принятии решений, так как их продукты определяют, какие сертификаты считаются доверенными.
Органы управления
- Исполнительный комитет: выбирается из числа членов, отвечает за стратегическое развитие.
- Рабочие группы: занимаются разработкой конкретных документов. Основные группы:
- Server Certificate Working Group: отвечает за Базовые требования и политики для SSL/TLS-сертификатов.
- Code Signing Working Group: разрабатывает требования для сертификатов подписи кода.
- S/MIME Working Group: занимается стандартами для сертификатов электронной почты (S/MIME).
- Network Security Working Group: определяет требования к сетевой безопасности CA.
Процесс принятия решений
Решения принимаются на основе консенсуса и голосования. Для принятия поправки к Базовым требованиям требуется большинство голосов как со стороны CA, так и со стороны Browser/OS Vendors. Это создаёт баланс интересов: CA стремятся к упрощению и снижению затрат, а разработчики браузеров — к максимальной безопасности.
Основные документы и требования
Baseline Requirements (BR)
Это основной документ, устанавливающий минимальные обязательства для CA. Он включает:
- Проверка личности заявителя: процедуры для подтверждения права собственности на домен (Domain Validation, DV) или данных организации (Organization Validation, OV).
- Криптография: требования к длине ключей (не менее 2048 бит для RSA), алгоритмам подписи (SHA-256 и выше), срокам действия сертификатов.
- Аудит: обязательный ежегодный аудит CA (по стандартам WebTrust или ETSI) на соответствие BR.
- Управление ключами: защита закрытых ключей, процедуры отзыва сертификатов, управление сроками действия.
EV Guidelines
Документ, регламентирующий выпуск сертификатов с расширенной валидацией (EV), которые отображаются в браузере зелёной строкой или названием организации. Требования EV значительно строже: требуется юридическая проверка организации, её физического адреса и полномочий подписантов.
Code Signing Requirements
Требования для сертификатов, используемых для подписи программного обеспечения. Они включают обязательное использование аппаратных токенов (HSM) для хранения ключей и двухфакторную аутентификацию.
Влияние на безопасность Интернета
Устранение уязвимостей
Работа форума напрямую повлияла на снижение числа инцидентов, связанных с компрометацией CA. Введение строгих требований к проверке домена (например, запрет на использование слабых методов проверки) и к криптографии сделало выпуск мошеннических сертификатов значительно сложнее.
Сокращение срока действия
Одним из значимых решений форума стало поэтапное сокращение максимального срока действия публично доверенных TLS-сертификатов: с 8 лет (до 2015 года) до 3 лет (2015–2020), затем до 2 лет (2020–2023) и, наконец, до 1 года (с 2023 года). Это снижает риски, связанные с утерей или компрометацией ключей, и стимулирует автоматизацию управления сертификатами (протокол ACME).
Прозрачность и аудит
Форум обязал CA публиковать отчёты о своей деятельности и проходить ежегодные аудиты. Кроме того, внедрение Certificate Transparency (CT) — системы публичного логирования всех выпущенных сертификатов — стало обязательным требованием для большинства браузеров.
Критика и вызовы
Медлительность и бюрократизация
Критики отмечают, что процесс принятия решений в форуме часто затягивается из-за необходимости достижения консенсуса между разными группами интересов. Это может препятствовать быстрому реагированию на новые угрозы.
Дисбаланс сил
Несмотря на формальное равенство, решающее влияние на принятие решений оказывают разработчики браузеров, особенно Google и Mozilla. Они могут в одностороннем порядке исключить CA из своих списков доверия, что создаёт мощный рычаг давления.
Глобальный охват и юрисдикционные проблемы
Форум разрабатывает правила, которые применяются во всём мире, но его деятельность регулируется законодательством США. Это вызывает вопросы о соответствии требованиям национальных законов, например, в области защиты персональных данных или государственного контроля.
Техническая сложность
Базовые требования постоянно усложняются, что создаёт значительные издержки для небольших и региональных центров сертификации. Это может привести к монополизации рынка крупными игроками.
Интересные факты
- Первый инцидент: решение о создании форума было ускорено после того, как в 2005 году хакеру удалось получить мошеннический сертификат для домена
microsoft.comот одного из CA. - Протокол ACME: форум активно поддерживает автоматизацию управления сертификатами, что привело к популяризации Let's Encrypt — бесплатного CA, выпускающего миллиарды сертификатов в год.
- Санкции: в 2022 году после начала вооружённого конфликта на Украине некоторые CA из России были исключены из корневых программ браузеров, что привело к перебоям в работе HTTPS-сертификатов для российских сайтов. Это продемонстрировало зависимость глобальной PKI от решений частных компаний.
Источники
- CA/Browser Forum. (2024). Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, Version 2.0.0.
- CA/Browser Forum. (2023). Guidelines for Extended Validation Certificates, Version 1.8.3.
- CA/Browser Forum. (2022). Network Security Requirements for Publicly-Trusted Certificate Authorities.
- Mozilla Foundation. (2024). Mozilla CA Certificate Inclusion Policy.
- Google LLC. (2024). Chrome Root Program Policy.
- Microsoft Corporation. (2024). Microsoft Root Certificate Program Policy.
- Статья «The CA/Browser Forum: A History of Internet Security» (2020) на портале SSL.com.
- Доклад «CA/Browser Forum: Governance and Impact on Global PKI» (2023) на конференции RSA Conference.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →