Новости Предложение Mozilla по отзыву случайных сертификатов

[vaspvort]

Разработчики Mozilla выступили с интересным

Для просмотра ссылки необходимо нажать Вход или Регистрация

по оздоровлению инфраструктуры сертификатов TLS и инфраструктуры открытых ключей (PKI) в целом.

Среди прочего, Центрам Сертификации предлагается массово отзывать у пользователей сертификаты, чтобы подтолкнуть их к автоматизации. Для тестирования системы ежегодно отзыву подлежит 30 случайных сертификатов.
Предложение включает следующие пункты:

• Отзыв должен происходить незамедлительно в соответствии со сроками, установленными в разделе 4.9.1 Базовых требований TLS (TLS BR). Mozilla не предоставляет исключений из этих сроков.
• Новые обязательства Удостоверяющих Центров:
  • Информировать подписчиков о сроках отзыва сертификатов и не рекомендовать использовать сертификаты в системах, которые не могут выдержать своевременного отзыва.
  • Включить в договор формулировку, требующую от подписчиков соблюдения сроков отзыва.
  • Ежегодно поддерживать и тестировать планы массового отзыва, включая отзыв 30-ти случайно выбранных сертификатов в течение 5-дневного периода.
• Начиная с 15 апреля 2026 года аудиторские отчёты УЦ должны подтверждать соблюдение требований по планированию массового отзыва.
• Об инцидентах, связанных с задержкой отзыва, необходимо сообщать в соответствии с версией 2.1 Руководства по сообщению об инцидентах CCADB (согласно текущему предложению).
• Повторные инциденты с задержкой отзыва приведут к усилению контроля или санкциям, которые могут включать удаление корневого сертификата УЦ из хранилища Mozilla Root Store.

Разработчики браузеров давно предлагают сократить любые сроки действия, связанные с выдачей и обращением сертификатов, чтобы увеличить уровень автоматизации — а значит, и повысить безопасность пользователей.

Например, в октябре 2024 года Клинт Уилсон из Apple выступил с

Для просмотра ссылки необходимо нажать Вход или Регистрация

следующего содержания по поводу изменения PKI:

• Расширить раздел 4.2.1, чтобы подробно описать допустимые периоды повторного использования данных для проверки (как для доменов/IP, так и для всего остального в 3.2)
  • Общее сокращение повторного использования валидационных данных, не относящихся к SAN, с 825 до 366 дней
  • Общее сокращение повторного использования валидационных данных, относящихся к SAN, с 398 до 10 дней
• Расширить раздел 6.3.2, чтобы детализировать график сокращения максимальных сроков действия в ближайшие годы
  • Общее сокращение максимального срока действия с 398 дней до 45 дней
• Сокращения предлагается провести с сентября 2025 года по сентябрь 2027 года.

В сентябре 2024 года Бен Уилсон из Mozilla Root Store опубликовал черновик

Для просмотра ссылки необходимо нажать Вход или Регистрация

, в которой высказался против расширения существующих сроков отзыва (24 часа / 5 дней). Хотя в некоторых исключительных случаях отсрочка отзыва необходима, Mozilla в конечном итоге желает прекратить действие этой политики. Но для начала — усовершенствовать текущую политику в этой области.

В отличие от прошлых инициатив, новое предложение Бена Уилсона не включает отслеживание доменов и аттестацию подписчиков, и вместо этого фокусируется на обучении пользователей, готовности к массовому отзыву и надёжной отчётности об инцидентах в качестве основных механизмов повышения оперативности и прозрачности в отношении отсрочек отзыва.

В случае принятия, предлагаемый параграф MRSP § 6.1.3 заменит текущее руководство по отсрочке отзыва в Mozilla Wiki и обеспечит согласованность с Руководством CCADB по информированию об инцидентах.

Для просмотра ссылки необходимо нажать Вход или Регистрация