WebTrust for CAs
WebTrust for CAs (WebTrust for Certification Authorities) — это международная программа аудита и сертификации, разработанная Американским институтом дипломированных общественных бухгалтеров (AICPA) и Канадским институтом дипломированных бухгалтеров (CICA). Она предназначена для оценки и подтверждения соответствия деятельности удостоверяющих центров (УЦ) требованиям, установленным в документе «Базовые требования к удостоверяющим центрам» (Baseline Requirements, BR) Форума CA/Browser (CA/Browser Forum). Сертификация WebTrust for CAs является одним из наиболее распространённых и признанных способов доказательства того, что удостоверяющий центр соблюдает правила, необходимые для выпуска доверенных SSL/TLS-сертификатов, которые автоматически принимаются веб-браузерами.
История
Программа WebTrust была запущена в 1997 году AICPA и CICA как общий стандарт для аудита веб-сайтов и электронной коммерции. Первоначально она охватывала широкий круг вопросов, включая конфиденциальность, безопасность и доступность. В начале 2000-х годов, с ростом числа удостоверяющих центров и проблемами с доверием к SSL-сертификатам, возникла потребность в специализированном стандарте для УЦ.
В 2006 году, после ряда инцидентов с компрометацией корневых сертификатов, Форум CA/Browser (международная организация, объединяющая удостоверяющие центры и производителей браузеров) разработал «Базовые требования к удостоверяющим центрам» (Baseline Requirements). В ответ на это AICPA и CICA адаптировали программу WebTrust, создав отдельный модуль — WebTrust for CAs. Первая версия этого модуля была опубликована в 2007 году. С тех пор он регулярно обновляется, чтобы соответствовать изменениям в BR и другим отраслевым стандартам, таким как требования программы корневых сертификатов Microsoft (Microsoft Root Certificate Program) и политики сертификатов Adobe Approved Trust List (AATL).
Цель и значение
Основная цель WebTrust for CAs — обеспечить независимую, объективную и профессиональную проверку того, что удостоверяющий центр действует в соответствии с установленными правилами. Без такой проверки браузеры и операционные системы не могли бы доверять сертификатам, выпущенным данным УЦ, что привело бы к блокировке защищённых соединений (HTTPS) с миллионами веб-сайтов.
Значение сертификации WebTrust for CAs заключается в следующем:
- Доверие браузеров: Почти все основные браузеры (Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge) требуют от удостоверяющих центров, включённых в их корневые хранилища, прохождения аудита по стандарту WebTrust for CAs или его эквиваленту (например, ETSI EN 319 411-1).
- Прозрачность: Результаты аудита (отчёты) обычно публикуются в открытом доступе, что позволяет любому пользователю или организации проверить статус УЦ.
- Снижение рисков: Аудит выявляет недостатки в процедурах управления ключами, регистрации заявителей, выпуске и отзыве сертификатов, что снижает вероятность компрометации инфраструктуры открытых ключей (PKI).
Ключевые критерии и принципы
Аудит WebTrust for CAs оценивает соответствие УЦ следующим основным требованиям, изложенным в документе «Базовые требования к удостоверяющим центрам» (Baseline Requirements):
- Управление ключами и сертификатами: УЦ должен безопасно генерировать, хранить, использовать и уничтожать свои закрытые ключи. Закрытые ключи корневых и промежуточных сертификатов должны храниться в аппаратных модулях безопасности (HSM), соответствующих стандарту FIPS 140-2 Level 3 или выше.
- Проверка личности заявителя: УЦ обязан строго проверять личность и права заявителя на доменное имя перед выпуском сертификата. Для сертификатов с расширенной проверкой (EV SSL) процедура ещё более строгая.
- Выпуск и отзыв сертификатов: Процессы выпуска и отзыва должны быть автоматизированы, защищены от несанкционированного доступа и соответствовать требованиям по времени отзыва (обычно в течение 24 часов после получения запроса).
- Управление жизненным циклом сертификата: УЦ должен вести учёт всех выпущенных сертификатов, включая их статус (действителен, отозван, истёк).
- Безопасность инфраструктуры: Физическая и логическая безопасность помещений, где расположены серверы и HSM, должна соответствовать высоким стандартам.
- Соблюдение политик и процедур: УЦ должен иметь внутренние политики, процедуры и контрольные механизмы, обеспечивающие выполнение всех требований.
Процесс аудита
Аудит WebTrust for CAs проводится независимыми аудиторскими фирмами, аккредитованными AICPA или CICA. Процесс включает несколько этапов:
- Планирование: Аудитор изучает документацию УЦ, его политики и процедуры, а также результаты предыдущих аудитов.
- Полевая работа: Аудитор проводит интервью с сотрудниками, проверяет журналы событий, конфигурации систем, а также физически осматривает помещения и оборудование. Особое внимание уделяется процедурам управления ключами и проверки доменов.
- Тестирование: Аудитор выполняет выборочные проверки выпущенных сертификатов, чтобы убедиться, что каждый из них был выпущен в соответствии с правилами.
- Выдача заключения: По результатам аудита выдаётся один из трёх типов заключений:
- Безоговорочно положительное заключение (Unqualified Opinion): УЦ полностью соответствует требованиям.
- Оговорка (Qualified Opinion): УЦ имеет незначительные нарушения, не влияющие на общую безопасность, но требующие исправления.
- Отрицательное заключение (Adverse Opinion): УЦ имеет серьёзные нарушения, несовместимые с требованиями.
- Публикация отчёта: Отчёт об аудите, включая заключение, публикуется на сайте УЦ или в реестре WebTrust.
Виды аудитов WebTrust for CAs
В рамках программы WebTrust for CAs существует несколько специализированных модулей:
- WebTrust for CAs — Baseline Requirements: Основной аудит, проверяющий соответствие «Базовым требованиям».
- WebTrust for CAs — Extended Validation (EV): Дополнительный аудит для УЦ, выпускающих сертификаты с расширенной проверкой (EV SSL). Он проверяет соблюдение более строгих процедур проверки юридического лица.
- WebTrust for CAs — Code Signing: Аудит для УЦ, выпускающих сертификаты для подписи кода (Code Signing). Проверяет процедуры, связанные с безопасной подписью программного обеспечения.
- WebTrust for CAs — Network Security: Отдельный аудит, оценивающий соответствие требованиям по сетевой безопасности, изложенным в документе «Требования к сетевой и сертификационной системе» (Network and Certificate System Security Requirements).
Критика и ограничения
Несмотря на широкое признание, программа WebTrust for CAs подвергается критике по нескольким причинам:
- Стоимость: Аудит является дорогостоящим, что создаёт барьер для входа на рынок небольших УЦ.
- Сложность: Требования постоянно меняются, что требует от УЦ значительных ресурсов для поддержания соответствия.
- Ограниченная область проверки: Аудит фокусируется на процедурах УЦ, но не всегда может выявить уязвимости в программном обеспечении или человеческие ошибки, которые приводят к инцидентам.
- Зависимость от браузеров: Решение о включении УЦ в корневое хранилище браузера остаётся за производителем браузера, а не за аудитором. Даже при положительном заключении УЦ может быть исключён из хранилища по решению браузера.
Примеры удостоверяющих центров, прошедших сертификацию
Многие крупные международные и российские удостоверяющие центры проходят сертификацию WebTrust for CAs. Среди них:
- GlobalSign (Бельгия)
- DigiCert (США)
- Let's Encrypt (США) — использует автоматизированный аудит на основе протокола ACME.
- Sectigo (Великобритания)
- Национальный удостоверяющий центр (Россия) — входит в программу корневых сертификатов Microsoft и проходит аудит WebTrust for CAs.
- АО «ИнфоТеКС» (Россия) — удостоверяющий центр, выпускающий сертификаты для государственных и коммерческих организаций.
Интересные факты
- Сертификация WebTrust for CAs является обязательным условием для включения удостоверяющего центра в программу корневых сертификатов Microsoft (Microsoft Root Certificate Program) и в корневое хранилище Apple.
- В 2021 году аудит WebTrust for CAs выявил серьёзные нарушения у одного из крупных УЦ, что привело к его временному исключению из корневых хранилищ браузеров.
- Существует эквивалентная европейская программа сертификации — ETSI EN 319 411-1, которая также признаётся браузерами.
Источники
- AICPA/CICA. «WebTrust for Certification Authorities — Baseline Requirements Criteria». — American Institute of CPAs, 2023.
- CA/Browser Forum. «Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates». — Version 2.0, 2023.
- Microsoft. «Microsoft Root Certificate Program Requirements». — Microsoft Corporation, 2023.
- Apple. «Apple Root Certificate Program Policy». — Apple Inc., 2023.
- ETSI. «ETSI EN 319 411-1: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates». — European Telecommunications Standards Institute, 2021.
- Национальный удостоверяющий центр (Россия). «Отчёт об аудите WebTrust for CAs за 2023 год». — НУЦ, 2024.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →