De geldigheidsduur van SSL/TLS-certificaten werd vanaf 1 maart 2018 beperkt tot twee jaar, in plaats van drie jaar. Als zo een ingrijpende veranderingen doorgevoerd worden krijgen wij vaak een hoop vragen aangaande het CA/Browser-forum die dit soort beslissingen neemt. Wie neemt nu zo een beslissingen? Wat is dat mysterieuze “almachtige orgaan” achter al die veranderingen?
Het CA/Browser-forum is een industrieorgaan dat bestaat uit certificeringsinstanties en browsers met als doel de bevordering van de “beste praktijken in de industrie ter verbetering van de manier waarop certificaten worden gebruikt ten behoeve van internetgebruikers en de beveiliging van hun communicatie.”
Nu weet je dus wie het zijn. Wij wouden eigenlijk nog meer te weten komen over de manier waarop ze werken en waarom ze deze veranderingen invoeren, dus we gingen naar de bron - Doug Beattie, VP van Product Management bij GlobalSign, en de afgelopen vier jaar actief lid van het CA/Browser-forum.
Hallo Doug!
Certificeringsinstanties en browser-leveranciers vormen de meerderheid in het CA/Browser-forum. Welke rol speelt iedere partij daarin?
Certificeringsinstanties
Certificeringsinstanties zijn verantwoordelijk voor het naleven van de vereisten en normen in de industrie bij de afgifte van certificaten. Een van de belangrijkste aspecten is de validatie van de informatie op het certificaat en het uitfilteren van aanvragen die mogelijk afkomstig kunnen zijn van sites die voor phishing worden gebruikt. Dit proces wordt controle genoemd.
Het is belangrijk dat we niet zomaar aan iedereen certificaten afgeven en dat we erop toezien dat de best practices beveiliging worden toegepast voor een veiliger en beveiligd web. Deze worden uiteengezet in zogenaamde Minimumeisen waarin vastgelegd is dat alle certificeringsinstanties grondige risicocontroles moeten uitvoeren om er zeker van te zijn dat ze aanvragen voor certificaten beoordelen als deze argwaan wekken. Daarom hebben wij bij GlobalSign een phishing-filter, dat regelmatig wordt bijgewerkt op basis van nieuwe informatie. Dit is ook een van de redenen achter de nieuwe eis van de CAA (Certificate Authority Authorization, machtiging van certificeringsinstanties), waarmee domeineigenaren kunnen specificeren welke certificeringsinstanties certificaten kunnen afgeven voor het domein of de domeinen.
We spelen allemaal een rol in internetbeveiliging, dus certificeringsinstanties moeten voorzichtig zijn en kunnen niet stellen dat ‘veiligheid op het internet niet ons probleem is, wij geven alleen maar certificaten af’. We zijn niet verantwoordelijk voor het opsporen en arresteren van hackers, maar we hebben wel degelijk een rol te vervullen en moeten ons best doen om er (zo veel mogelijk) voor te zorgen dat we certificaten afgeven aan bonafide partijen en niet aan criminelen.
Browsers
Browsers zijn de laatste verdedigingslinie en de ultieme gebruikersinterface bij de verbinding van sites via HTTPS, dus hun weergave van de site is van cruciaal belang voor beveiliging. In de afgelopen twee jaar is er veel veranderd in de weergave van met SSL beveiligde sites, waaronder een unieke behandeling die leidt tot de uitfasering van SHA-1 die onder andere bestond uit in geel weergegeven waarschuwingen, rode sloten etc.
Met de vele recente wijzigingen kan het lastig zijn voor bedrijven en consumenten om te begrijpen wat dit betekent en hoe ze dit moeten interpreteren. Ik hoop dat de leveranciers van browsers tot overeenstemming kunnen komen over de gebruikersinterface voor SSL, zodat gebruikers gemakkelijker kunnen vaststellen welke sites vertrouwd kunnen worden (en voor bedrijven om te zien welk niveau van SSL nodig is voor hen).
Zo is momenteel in alle belangrijke browsers de bedrijfsnaam te zien in de URL-balk, meestal in groen als een site gebruik maakt van een EV SSL-certificaat (voor Extended Validation ofwel uitgebreide validatie). Met deze simpele, algemene gebruikersinterface kunnen gebruikers gemakkelijk zien welk bedrijf de site beheert en deze onderscheiden van bedrieglijke sites of phishing-sites. Ik denk dat het geweldig zou zijn om een soortgelijke benadering te zien voor Domain Validated (DV) en Organization Validated (OV)-certificaten (met domein- respectievelijk organisatievalidatie) – een gemeenschappelijke behandeling in de interface om gebruikers te laten weten of de site gebruik maakt van DV of OV, waarbij idealiter OV meer verzekering biedt vanwege de aanvullende controles die voor dit certificaat vereist zijn.
Hoe werkt GlobalSign met het CA/Brower-forum samen bij het opstellen van regels en voorschriften?
Wij zijn één van de vele deelnemers die met elkaar samenwerken aan de definitie van nieuwe normen en vereisten. Er zijn twee onderwerpen waarbij we de afgelopen tijd nauw betrokken zijn geweest:
1. Domeinvalidatiemethoden
In de eerste plaats waren wij actief bij het definiëren van de bijgewerkte domeinvalidatiemethoden die zijn aangenomen in Motie 169. Wij hebben meer dan een jaar zitting gehad in de validatiewerkgroep voor de definitie van deze domeinvalidatiemethoden met als doel de verbetering van de algehele beveiliging daarvan. We hebben de beveiliging aangescherpt binnen de lijst van methoden en een einde gemaakt aan de mogelijkheid van certificeringsinstanties om naar eigen inzichten een andere “equivalente” methode te bedenken en toe te passen.
2. Maximale geldigheidsperiode voor SSL-certificaten
Ook zijn we betrokken geweest bij gesprekken en stemmingen over het terugbrengen van de maximale geldigheidsperiode voor SSL-certificaten. Deze motie, ingediend door Google, om de geldigheidsperiode te verkorten tot één jaar is na een lange discussie van tafel geveegd, maar we zien de waarde in van geldigheidsperioden van minder dan drie jaar.
We hebben dan ook geholpen bij het indienen van een voorstel om de maximum geldigheidsduur terug te brengen tot twee jaar en dat voorstel is onlangs aangenomen. We zijn van mening dat dit een goed compromis vormt tussen de risico’s van lange geldigheidsperioden en het effect op bedrijven die de certificaten moeten beheren en te maken krijgen met meer verlengingen.
Wat komt er bij kijken bij het opstellen van nieuwe vereisten?
Iedereen in het CA/Browser-Forum kan met ideeën komen die besproken worden door de leden. Nadat overeenstemming is bereikt over de vraag of de voorgestelde verandering op de een of andere manier ten goede komt aan de beveiliging of de gang van zaken, kan het lid om een stemming vragen waarin de gedetailleerde verandering is gedefinieerd. Dit houdt in dat er een duidelijke beschrijving van het probleem moet worden toegevoegd, hoe de voorgestelde wijziging dit probleem oplost en een kanttekening bij of een rode lijn door de oude vereiste.
Er wordt minimaal een week daarover gediscussieerd en dan komt de motie meteen in de stemperiode van één week, als we er vanuit gaan dat er geen substantiële veranderingen zijn aangebracht tijdens de discussieperiode. Complexere onderwerpen worden vaak besproken in de bijeenkomsten in persoon die drie keer per jaar worden gehouden, waar men veel belangrijke deelnemers in de zaal aantreft en een actieve discussie kan plaatsvinden over de voors en tegens en wat leden zouden willen zien als voorgestelde of aanbevolen wijziging.
Zijn er nog meer veranderingen op stapel waar we van moeten weten?
U kunt actief de huidige initiatieven en moties bijhouden of de openbare e-maillijst volgen om op de hoogte te blijven.
Hier zijn twee belangrijke op handen zijnde veranderingen waarvan u op de hoogte moet zijn:
1. CAA - Certificate Authority Authorization
De eerste is de verplichte implementatie van de CAA voor 7 september 2017. Domeineigenaren kunnen CAA DNS-records creëren waarin de certificeringsinstanties worden vermeld die zij toestemming hebben gegeven om certificaten in het domein afgegeven.
Als in dit model een domein over een CAA-record of CAA-records beschikt, en in geen enkele van deze records wordt globalsign.com genoemd als een gemachtigde afgifte-instantie, dan is het GlobalSign verboden om een certificaat aan dat domein (of subdomein af te geven). CAA is al enige jaren optioneel, maar het volledige potentieel van CAA kan pas worden benut als alle certificeringsinstanties het in praktijk brengen. Zolang niet alle certificeringsinstanties deze tactiek toepassen, kunnen malafide lieden certificaten aanvragen bij certificeringsinstanties die nog niet de CAA toepassen en vervolgens een aanval uitvoeren.
2. Certificaattransparantie (CT)
Google eist al sinds begin 2015 certificaattransparantie (CT) voor EV-certificaten en ze breiden dit uit naar alle SSL-certificaten met ingang van april 2018. De eerder aangekondigde datum was oktober 2017, maar deze werd onlangs aangepast. Hoewel dit geen vereiste is van het CA/Browser-forum, is het een mondiale vereiste voor certificeringsinstanties als ze willen dat hun certificaten worden vertrouwd door de browser Chrome van Google.
Het uitstel van zes maanden draagt bij aan de vervolmaking van de CT-registratie-infrastructuur. We hebben enkele CT-logs online zien komen die vervolgens de mist ingingen, en dat leidde ertoe dat sommige certificaten hun bijzondere status verloren en bezoekers van een site plotseling angstaanjagende informatie aantroffen zoals “niet beveiligd”.
Met de nieuwe eis moet iedereen die wil dat zijn SSL-certificaat wordt vertrouwd door Chrome (dat momenteel een marktaandeel van meer dan 60% heeft) certificaten gebruiken die in overeenstemming zijn met het certificaattransparantiebeleid van Google. Sommige organisaties die wellicht niet hun certificaten willen publiceren zullen moeten beslissen wat de beste aanpak is. Ze zouden kunnen besluiten geen door het publiek vertrouwde certificaten af te geven die voldoen aan het certificaattransparantiebeleid van Google en hun medewerkers zouden misschien niet de standaardversie van Chrome gebruiken, of ze moeten wellicht certificaten van een particuliere hiërarchie verkrijgen. GlobalSign heeft een oplossing hiervoor, namelijk IntranetSSL.
Ziezo, nu weet je het belangrijkste over dat “mysterieuze” CA/Browser-forum… dat al met al niet zo mysterieus is, toch? Als je nog meer wil weten over het CA/Browser-forum of hoe de minimumvereisten en normen van invloed op jouw bedrijf zijn, stel ons dan gewoon een vraag!