近日,CA/B论坛第59次面对面工作会议在微软公司总部美国华盛顿州雷德蒙德市举办,来自全球多家主流浏览器及操作系统厂商、CA机构及网络安全专家齐聚一堂,探讨WebPKI生态最新的相关标准要求、挑战和未来前景。数安时代作为中国权威的CA电子认证机构,受邀出席本次会议。
01浏览器根证书管理项目
会议期间,Mozilla进一步明确了CA机构加入其信任列表的要求及考虑因素,管理策略修订的重点及方向,再次强调了新的管理策略将明确限制根证书的可使用期限,以及S/MIME安全邮件证书基准要求实施日期。
谷歌新的管理策略将要求CA机构必须支持更多的技术协议,如ACME协议、RFC8657,详述了要求CA机构实施ACME协议的原因,进一步澄清了CA机构在出现合规性及安全事件后的事故报告要求。
展望未来,谷歌将进一步推动证书签发及管理的自动化、促进CA机构实现更为“现代化”的基础设施建设,即限制根证书、中级CA证书及用户证书的最大有效期、淘汰多用途的根证书。此外,从Chrome 117版本起,谷歌浏览器地址栏的安全锁标志将被新的标志取代。
02WebTrust工作组
工作组针对网络及证书系统安全要求制定了独立的审计标准,还首次对标S/MIME安全邮件证书基准要求制定了审计标准。工作组还介绍了目前各类审计标准的更新情况,以及ISO 27099的更新对审计标准的影响。
03证书工作组
论坛各工作组针对不同类型的证书进行了专题讨论,代码签名证书工作组重点探讨了证书透明机制、EV证书必要性、时间戳证书私钥使用期限等。服务器证书工作组的会议则围绕EV证书验证的数据源、ACME证书管理、网络及证书系统安全要求修订等方面。S/MIME安全邮件证书工作组介绍了新的基准要求实施各方面提出的问题,基准要求新的修订内容,并重点讨论了中级CA证书过渡、用户证书私钥保护等问题。
会议期间,数安时代与Mozilla及谷歌就SSL/TLS证书最大有效期、机构身份鉴别等相关问题进行了沟通。谷歌对于其拟提议的90天最大有效期的SSL/TLS证书,表示不会单方面强制实施该要求,而会在实施前与CA机构及其他利益相关方做好充分沟通。此外,数安时代还与WebTrust工作组的专家就审计机构资质及许可的审计地区交换了意见,明确了我国内地CA机构在开展WebTrust审计时可选择的审计机构。
作为CA/B国际论坛拥有投票权的成员,数安时代将持续与全球主流浏览器、操作系统厂商及证书认证机构,共同研讨国际网站安全、互联网 PKI 技术及参与国际行业标准的建设,共推国际互联网领域安全发展。
领取优惠
提交成功!