Открыть сервис

WebTrust for CAs

WebTrust for CAs (WebTrust for Certification Authorities) — это международная программа аудита и сертификации, разработанная Американским институтом дипломированных общественных бухгалтеров (AICPA) и Канадским институтом дипломированных бухгалтеров (CICA). Она предназначена для оценки и подтверждения соответствия деятельности удостоверяющих центров (УЦ) требованиям, установленным в документе «Базовые требования к удостоверяющим центрам» (Baseline Requirements, BR) Форума CA/Browser (CA/Browser Forum). Сертификация WebTrust for CAs является одним из наиболее распространённых и признанных способов доказательства того, что удостоверяющий центр соблюдает правила, необходимые для выпуска доверенных SSL/TLS-сертификатов, которые автоматически принимаются веб-браузерами.

История

Программа WebTrust была запущена в 1997 году AICPA и CICA как общий стандарт для аудита веб-сайтов и электронной коммерции. Первоначально она охватывала широкий круг вопросов, включая конфиденциальность, безопасность и доступность. В начале 2000-х годов, с ростом числа удостоверяющих центров и проблемами с доверием к SSL-сертификатам, возникла потребность в специализированном стандарте для УЦ.

В 2006 году, после ряда инцидентов с компрометацией корневых сертификатов, Форум CA/Browser (международная организация, объединяющая удостоверяющие центры и производителей браузеров) разработал «Базовые требования к удостоверяющим центрам» (Baseline Requirements). В ответ на это AICPA и CICA адаптировали программу WebTrust, создав отдельный модуль — WebTrust for CAs. Первая версия этого модуля была опубликована в 2007 году. С тех пор он регулярно обновляется, чтобы соответствовать изменениям в BR и другим отраслевым стандартам, таким как требования программы корневых сертификатов Microsoft (Microsoft Root Certificate Program) и политики сертификатов Adobe Approved Trust List (AATL).

Цель и значение

Основная цель WebTrust for CAs — обеспечить независимую, объективную и профессиональную проверку того, что удостоверяющий центр действует в соответствии с установленными правилами. Без такой проверки браузеры и операционные системы не могли бы доверять сертификатам, выпущенным данным УЦ, что привело бы к блокировке защищённых соединений (HTTPS) с миллионами веб-сайтов.

Значение сертификации WebTrust for CAs заключается в следующем:

  • Доверие браузеров: Почти все основные браузеры (Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge) требуют от удостоверяющих центров, включённых в их корневые хранилища, прохождения аудита по стандарту WebTrust for CAs или его эквиваленту (например, ETSI EN 319 411-1).
  • Прозрачность: Результаты аудита (отчёты) обычно публикуются в открытом доступе, что позволяет любому пользователю или организации проверить статус УЦ.
  • Снижение рисков: Аудит выявляет недостатки в процедурах управления ключами, регистрации заявителей, выпуске и отзыве сертификатов, что снижает вероятность компрометации инфраструктуры открытых ключей (PKI).

Ключевые критерии и принципы

Аудит WebTrust for CAs оценивает соответствие УЦ следующим основным требованиям, изложенным в документе «Базовые требования к удостоверяющим центрам» (Baseline Requirements):

  1. Управление ключами и сертификатами: УЦ должен безопасно генерировать, хранить, использовать и уничтожать свои закрытые ключи. Закрытые ключи корневых и промежуточных сертификатов должны храниться в аппаратных модулях безопасности (HSM), соответствующих стандарту FIPS 140-2 Level 3 или выше.
  2. Проверка личности заявителя: УЦ обязан строго проверять личность и права заявителя на доменное имя перед выпуском сертификата. Для сертификатов с расширенной проверкой (EV SSL) процедура ещё более строгая.
  3. Выпуск и отзыв сертификатов: Процессы выпуска и отзыва должны быть автоматизированы, защищены от несанкционированного доступа и соответствовать требованиям по времени отзыва (обычно в течение 24 часов после получения запроса).
  4. Управление жизненным циклом сертификата: УЦ должен вести учёт всех выпущенных сертификатов, включая их статус (действителен, отозван, истёк).
  5. Безопасность инфраструктуры: Физическая и логическая безопасность помещений, где расположены серверы и HSM, должна соответствовать высоким стандартам.
  6. Соблюдение политик и процедур: УЦ должен иметь внутренние политики, процедуры и контрольные механизмы, обеспечивающие выполнение всех требований.

Процесс аудита

Аудит WebTrust for CAs проводится независимыми аудиторскими фирмами, аккредитованными AICPA или CICA. Процесс включает несколько этапов:

  1. Планирование: Аудитор изучает документацию УЦ, его политики и процедуры, а также результаты предыдущих аудитов.
  2. Полевая работа: Аудитор проводит интервью с сотрудниками, проверяет журналы событий, конфигурации систем, а также физически осматривает помещения и оборудование. Особое внимание уделяется процедурам управления ключами и проверки доменов.
  3. Тестирование: Аудитор выполняет выборочные проверки выпущенных сертификатов, чтобы убедиться, что каждый из них был выпущен в соответствии с правилами.
  4. Выдача заключения: По результатам аудита выдаётся один из трёх типов заключений:
  • Безоговорочно положительное заключение (Unqualified Opinion): УЦ полностью соответствует требованиям.
  • Оговорка (Qualified Opinion): УЦ имеет незначительные нарушения, не влияющие на общую безопасность, но требующие исправления.
  • Отрицательное заключение (Adverse Opinion): УЦ имеет серьёзные нарушения, несовместимые с требованиями.
  1. Публикация отчёта: Отчёт об аудите, включая заключение, публикуется на сайте УЦ или в реестре WebTrust.

Виды аудитов WebTrust for CAs

В рамках программы WebTrust for CAs существует несколько специализированных модулей:

  • WebTrust for CAs — Baseline Requirements: Основной аудит, проверяющий соответствие «Базовым требованиям».
  • WebTrust for CAs — Extended Validation (EV): Дополнительный аудит для УЦ, выпускающих сертификаты с расширенной проверкой (EV SSL). Он проверяет соблюдение более строгих процедур проверки юридического лица.
  • WebTrust for CAs — Code Signing: Аудит для УЦ, выпускающих сертификаты для подписи кода (Code Signing). Проверяет процедуры, связанные с безопасной подписью программного обеспечения.
  • WebTrust for CAs — Network Security: Отдельный аудит, оценивающий соответствие требованиям по сетевой безопасности, изложенным в документе «Требования к сетевой и сертификационной системе» (Network and Certificate System Security Requirements).

Критика и ограничения

Несмотря на широкое признание, программа WebTrust for CAs подвергается критике по нескольким причинам:

  • Стоимость: Аудит является дорогостоящим, что создаёт барьер для входа на рынок небольших УЦ.
  • Сложность: Требования постоянно меняются, что требует от УЦ значительных ресурсов для поддержания соответствия.
  • Ограниченная область проверки: Аудит фокусируется на процедурах УЦ, но не всегда может выявить уязвимости в программном обеспечении или человеческие ошибки, которые приводят к инцидентам.
  • Зависимость от браузеров: Решение о включении УЦ в корневое хранилище браузера остаётся за производителем браузера, а не за аудитором. Даже при положительном заключении УЦ может быть исключён из хранилища по решению браузера.

Примеры удостоверяющих центров, прошедших сертификацию

Многие крупные международные и российские удостоверяющие центры проходят сертификацию WebTrust for CAs. Среди них:

  • GlobalSign (Бельгия)
  • DigiCert (США)
  • Let's Encrypt (США) — использует автоматизированный аудит на основе протокола ACME.
  • Sectigo (Великобритания)
  • Национальный удостоверяющий центр (Россия) — входит в программу корневых сертификатов Microsoft и проходит аудит WebTrust for CAs.
  • АО «ИнфоТеКС» (Россия) — удостоверяющий центр, выпускающий сертификаты для государственных и коммерческих организаций.

Интересные факты

  • Сертификация WebTrust for CAs является обязательным условием для включения удостоверяющего центра в программу корневых сертификатов Microsoft (Microsoft Root Certificate Program) и в корневое хранилище Apple.
  • В 2021 году аудит WebTrust for CAs выявил серьёзные нарушения у одного из крупных УЦ, что привело к его временному исключению из корневых хранилищ браузеров.
  • Существует эквивалентная европейская программа сертификации — ETSI EN 319 411-1, которая также признаётся браузерами.

Источники

  1. AICPA/CICA. «WebTrust for Certification Authorities — Baseline Requirements Criteria». — American Institute of CPAs, 2023.
  2. CA/Browser Forum. «Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates». — Version 2.0, 2023.
  3. Microsoft. «Microsoft Root Certificate Program Requirements». — Microsoft Corporation, 2023.
  4. Apple. «Apple Root Certificate Program Policy». — Apple Inc., 2023.
  5. ETSI. «ETSI EN 319 411-1: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates». — European Telecommunications Standards Institute, 2021.
  6. Национальный удостоверяющий центр (Россия). «Отчёт об аудите WebTrust for CAs за 2023 год». — НУЦ, 2024.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →