Hoppa till innehåll

47-dagarscertifikat kommer. Är du redo?

Agera nu →

  1. Education Center
    2. Certifikatutfärdare/webbläsarforum

Vad är CA/B-forumet?

Postat avShruti Sharma 15 minuter
B-Forum
Innehållsförteckning

CA/B-forumet är en grupp tekniskt tunga certifikatutfärdare (CA:er) (som utfärdar digitala certifikat), webbläsartillverkare (som Chrome och Safari) och andra teknikföretag. Vad är deras uppdrag? Det är att sätta standarder för att säkra webbplatser och onlinekommunikation med SSL/TLS-certifikat.

Låt mig bryta ner det åt dig i Enklare termer med ett exempel. År 2017 upptäcktes Symantec utfärda TLS-certifikat utan korrekt validering, vilket utgjorde säkerhetsrisker. I enlighet med CA/B Forums riktlinjer återkallade webbläsare som Google och Mozilla Symantecs certifikat. Detta förhindrade angripare från att utnyttja de felaktigt utfärdade certifikaten och skyddade användardata. 

Du kanske har besökt en webbplats där webbläsaren visar en varning som säger "Den här webbplatsen är inte säker".  

CA / B Forum

CA/B-forumet hjälper till att göra internet säkrare genom att sätta standarder för SSL- och TLS-certifikat. Dessa standarder säkerställer att webbplatser med en hänglåsikon är verifierade och krypterade, vilket gör det svårare för angripare att stjäla eller ändra användardata. Det är dock webbläsare som tillämpar varningar som "Denna webbplats är inte säker". Dessa varningar visas när en webbplats certifikat har löpt ut, är ogiltigt eller saknas. Medan CA/B-forumet sätter reglerna, upptäcker och varnar webbläsarna användare baserat på certifikatets status.

Viktiga standarder och riktlinjer fastställda av CA/B-forumet

Implementeringen av riktlinjerna och standarderna är något vi inte kan manipulera inom säkerhet. Det är viktigt att följa de regler, riktlinjer och standarder som fastställts av CA/B-forumet. Här kommer vi att diskutera några av de viktigaste kraven från forumet.    

  • Grundläggande krav för SSL/TLS-certifikat

    CA/B-forumet sätter standarder för SSL/TLS-certifikat, där certifikattransparens är ett viktigt krav. Certifikattransparens innebär att logga varje utfärdat certifikat i offentliga databaser, vilket gör det möjligt för vem som helst att övervaka certifikat för en specifik domän. Detta hjälper till att upptäcka obehöriga eller felaktigt utfärdade certifikat och gör det möjligt för webbplatsägare att snabbt återkalla dem, vilket förhindrar missbruk och förbättrar den övergripande säkerheten.
    Detta initiativ är ett samarbete mellan webbläsare, Google och CA/B-forumet. Medan forumet fastställer riktlinjerna, säkerställer webbläsare att användarna skyddas genom att flagga certifikat som är komprometterade, utgångna eller inte är betrodda. Certifikattransparens spelar en viktig roll för att göra webben säkrare genom att erbjuda ett öppet och tillgängligt sätt att verifiera certifikatens legitimitet.
     Läs mer om CA/B-forumets grundkrav från här.

  • andra krav

    CA/B-forumet har arbetsgrupper som skapar standarder för säker kommunikation, inklusive kodsignering, S/MIME och nätverkssäkerhet. Det föreskriver även protokoll som Online Certificate Status Protocol (OCSP) och Certificate Revocation Lists (CRL). Dessa säkerställer att komprometterade certifikat identifieras och återkallas i realtid. Om ett certifikat till exempel missbrukas eller komprometteras, säkerställer OCSP att det ogiltigförklaras omedelbart, vilket minskar risken för attacker med återkallade certifikat.

  • Riktlinjer för utökad validering (EV)

    CA/B Forum introducerade riktlinjer för utökad validering (EV) år 2007 för att kräva strängare verifiering för certifikatbegäranden. Denna process hjälpte webbplatser att bygga förtroende hos användarna genom att bekräfta deras identitet. EV-certifikat användes särskilt av banker och andra organisationer som hanterade känslig användardata, vilket gav en försäkran om att webbplatsen var verifierad.
    De flesta webbläsare visar dock inte längre indikatorer som är specifika för elbilar, som att visa företagsnamn i adressfält, på grund av begränsad inverkan på användarbeteendet. Som ett resultat har den praktiska betydelsen av elbilscertifikat minskat. Trots detta fortsätter den striktare valideringsprocessen att vara viktig för att säkerställa högre säkerhet för webbplatser och deras användare. EL-certifikat erbjuder en högre nivå av förtroende, vilket gör det lättare för användare att identifiera legitima webbplatser och skydda dem från nätfiskeattacker. Du kan få mer information om ämnet från webbplatserna som nämns nedan.
    Aktuell version: Riktlinjer för EV TLS-servercertifikat 2.0.1.
    Andra versioner: Valideringsdokument

  • Starkare kryptografiska algoritmer

    Forumet har arbetat för att främja användningen av starkare kryptografiska algoritmer genom att avveckla föråldrade algoritmer och förbättra säkerheten över hela internet. Detta inkluderar övergången från algoritmer som SHA-1 till SHA-256 för certifikatsignaturer, vilket avsevärt förbättrar krypteringsstyrkan. Forumet samarbetar också med branschledare inom postkvantkryptografi för att hantera nya hot från framsteg inom databehandling, såsom kvantdatorer. NIST har redan valt ut flera PCC algoritmer för att förbereda sig för framtida hot från kvantdatorer. Till exempel har CRYSTALS-Kyber valts för säkert nyckelutbyte och CRYSTALS-Dilithium har valts för digitala signaturer. Dessa algoritmer är utformade för att motstå attacker från kvantdatorer, som skulle kunna bryta mot traditionella krypteringsmetoder.
    CA/B-forumet kommer sannolikt att ansluta sig till dessa ansträngningar för att vägleda certifikatutfärdare (CA:er) och webbläsarleverantörer i att anta dessa nya algoritmer. Detta samarbete kommer att bidra till att säkerställa att digitala certifikat och krypteringsmetoder förblir säkra i framtiden.
    Ett färskt exempel på hur dessa standarder hjälper är beslutet av stora företag som Google och Microsoft att helt fasa ut SHA-1-certifikat. Detta drag stärkte säkerheten för miljontals webbplatser avsevärt och förhindrade potentiella attacker som den som sågs 2017 då angripare kunde utnyttja svagheter i SHA-1-certifikat för att förfalska SSL/TLS-certifikat. Genom att använda starkare krypteringsmetoder kan företag skydda sina användares data och undvika liknande sårbarheter. Här kan vi få en referens till riktlinjerna som fastställts av CA/B-forumet för utvecklare: Utvecklarens riktlinjer.

  • Säkerhetskrav för nätverk och certifikatsystem

    CA/Browser Forum fastställde också en uppsättning säkerhetskrav för nätverk och certifikatsystem. Dessa krav anger säkerhetsåtgärder som CA:er måste vidta för att skydda infrastrukturen som utfärdar certifikat och säkerställa säkerheten för deras certifikat. Till exempel, efter DigiNotar-intrånget 2011, som äventyrade deras certifikatutgivningssystem, införde forumet strängare riktlinjer för att förhindra sådana incidenter.
    Aktuell version: Krav för nätverks- och säkerhetssystem.
    Länkar till äldre versioner: Äldre version av kraven.

  • Anpassning till NIST- och FIPS-standarder

    CA/Browser Forum, NIST och FIPS samarbetar för att stärka internetsäkerheten, särskilt för digitala certifikat. CA/Browser Forum kräver starka krypteringsmetoder för att skydda digitala certifikat. Dessa metoder måste följa NIST:s FIPS 140-2-standard, som anger regler för hur kryptering ska hanteras säkert. Detta säkerställer att de certifikat som utfärdas baseras på de bästa och säkraste krypteringsmetoderna. NIST:s krav för Kryptografiska moduler.
    När du jämför dessa krav med CA/B-forumets krav för kryptografiska moduler förstår du hur de två fungerar hand i hand. På liknande sätt, för nyckelhantering, överensstämmer NIST:s riktlinjer för nyckelhantering, såsom SP 800-57, med forumets krav på att säkert lagra och skydda privata nycklar. Detta hjälper till att förhindra nyckelkompromisser, en kritisk risk för certifikatintegriteten. Här är länken där du kan kontrollera NIST. Krav för nyckelhantering.

  • Krav för kodsignering för CA/B-forum

    Om du undrar över omfattningen och räckvidden av CA/B-forumet kan du bli chockad. CA/Browser Forum arbetar också effektivt med kodsigneringscertifikat. De används för att säkerställa integriteten och ursprunget för programvara som laddas ner från internet. Till exempel använder Microsoft kodsigneringscertifikat för att verifiera Windows-uppdateringar, vilket skyddar användare från att installera skadlig programvara förklädd till legitima uppdateringar. Dessa riktlinjer förbättrar säkerheten genom att skydda mot skadlig programvara och säkerställa att användare laddar ner säkra, verifierade program. Du måste läsa om det: här.

  • Minska giltighetstider för SSL/TLS-certifikat

    CA/B-forumet introducerade kortare giltighetsperioder för SSL/TLS-certifikat på grund av oro kring certifikatsäkerhet och dess intrång. Detta tillkännagivande syftade till att minska risken för att certifikat komprometteras över tid. Att förkorta giltighetsperioden tvingar fram snabbare förnyelse och bättre spårning av certifikat.
    Till exempel hjälpte kortare giltighetsperioder Apple att snabbt införa säkra algoritmer i hela sitt ekosystem, vilket säkerställde att komprometterade eller föråldrade certifikat omedelbart ersattes. Googles övergång till 90-dagars certifikat har ytterligare stärkt säkerheten och minskat risken för att nyckeln komprometteras. Du kan lära dig hur man smidigt kan övergå till och arbeta med SSL/TLS-certifikatgiltigheten från följande länk: Krypteringskonsultation Googles 90-dagarscertifikat.

CA/Browser Forums inverkan på internetsäkerhet

CA/Browser Forum är en organisation som hjälper till att förbättra internetsäkerheten genom att skapa regler för hur digitala certifikat ska utfärdas och användas. Forumets riktlinjer säkerställer att endast pålitliga organisationer kan få tag på dessa certifikat. Detta bidrar till att minska risken för att falska certifikat används och skyddar användarna när de surfar på internet. 

Ett av de viktigaste sätten som forumet hjälper till på är genom att skydda mot mannen i mitten attacker. Dessa attacker sker när hackare försöker fånga upp och stjäla data som delas mellan en användare och en webbplats. Forumet behöver att alla webbplatser använder kryptering. Kryptering förvränger data så att den inte kan läsas av någon som inte ska se den. Detta gör det mycket svårare för hackare att stjäla eller manipulera information under dessa attacker. 

Forumet hjälper också till att förhindra dataintrång genom att främja korrekt certifikathantering. Certifikat hjälper till att kontrollera vem som kan komma åt känslig information. När certifikat hanteras korrekt är det svårare för obehöriga att komma åt privata data. Detta är viktigt för att skydda personlig och affärsmässig information från cyberbrottslingar.

Risker med att inte följa CA/B-forumets riktlinjer korrekt

Tänk dig ett scenario där du inte följer CA/B-forumets riktlinjer; ja, detta kommer att skapa allvarliga konsekvenser. Felaktig efterlevnad av CA/B-forumets riktlinjer kan leda till olika cyberhot. Här ska vi diskutera några av de vanliga cyberattackerna och deras konsekvenser i situationer där CA/B-forumets riktlinjer inte följdes korrekt.    

1. Dataintrång och säkerhetsproblem

Utan strikt certifikathantering kan din känsliga information utsättas för cyberattacker som nätfiske, certifikatförfalskning eller MITM-attacker (man-in-the-middle).    

  • Equifax dataintrång (2017)

    • Ett av de största dataintrången i historien, som drabbade 147 miljoner människor, berodde delvis på ett utgånget SSL-certifikat. Det utgångna certifikatet förhindrade inspektion av krypterad trafik på en intern server, vilket gjorde det omöjligt att upptäcka ett dataintrång som varade i 76 dagar. Detta fel exponerade känslig personlig information, inklusive personnummer och finansiell information.
    Att följa CA/B Forums riktlinjer för hantering av certifikatlivscykeln, inklusive automatiserad övervakning och förnyelse av SSL-certifikat, kunde ha förhindrat detta fel. Organisationer måste aktivt spåra och förnya certifikat för att upprätthålla kryptering och säkerställa att nätverkssäkerhetsverktyg fungerar som avsett.

  • Googles felaktigt utfärdade Symantec-certifikat (2017)

    • Google upptäckte att Symantec-utfärdade SSL-certifikat inte uppfyllde CA/B Forums standarder. Symantecs CA:er utfärdade felaktigt över 30 000 certifikat utan korrekt validering, vilket bröt mot grundkraven för certifikatutfärdande. Konsekvensen av denna incident blev att Google och Mozilla meddelade att de gradvis skulle misstro Symantec-utfärdade certifikat.
    För att förhindra sådana incidenter måste organisationer också övervaka sina certifikatutfärdare för att säkerställa att de följer etablerade riktlinjer. I det här fallet hade striktare tillsyn av Symantecs valideringsprocesser och efterlevnad av forumets regler kunnat undvika felaktig utfärdande. Efter att problemet upptäcktes gav CA/B-forumets standarder en grund för webbläsare som Google och Mozilla att hålla Symantec ansvariga, fasa ut förtroendet för felaktigt utfärdade certifikat och säkerställa högre säkerhet framöver.

2. Användarmisstro

Om certifikat inte hanteras korrekt kan webbläsare visa varningar, vilket gör att användarna förlorar förtroendet för din webbplats eller ditt varumärke. Så vi bör alltid följa riktlinjerna från CA/B-forumet för att upprätthålla användarnas förtroende. Låt oss se ett sådant fel som inträffade 2011.

  • DigiNotar-intrång (2011)

    • År 2011 komprometterade angripare DigiNotar, en betrodd certifikatutfärdare, och utfärdade falska SSL-certifikat för stora domäner som Google. Dessa certifikat användes i en man-in-the-middle-attack, vilket orsakade ett allvarligt säkerhetsintrång. Händelsen ledde till att webbläsare återkallade förtroendet för DigiNotars certifikat, vilket i slutändan resulterade i företagets kollaps.
    Detta fall betonar vikten av att följa CA/B Forums riktlinjer, såsom att säkerställa säkra CA-system, noggrant validera certifikatförfrågningar och använda loggar för certifikattransparens för att upptäcka obehöriga certifikat. Om dessa metoder hade följts hade attacken kunnat upptäckas och förhindras, vilket bevarade användarnas förtroende och DigiNotars trovärdighet.

3. Brister i efterlevnaden

Att inte följa dessa standarder kan leda till att de regler som fastställts för branscherna inte följs, vilket kan resultera i böter och påföljder. Så vi måste se några exempel och vilka konsekvenser det får när en efterlevnadsbrist inträffar.  

  • Trustico-incidenten (2018)

    • År 2018 hanterade Trustico, en återförsäljare av SSL-certifikat, privata nycklar felaktigt genom att lagra dem osäkert. När Trustico delade privata nycklar via e-post med DigiCert bröt de mot CA/B Forums krav för säker nyckelhantering. Detta väckte betydande oro kring certifikatens säkerhet och ledde till att DigiCert återkallade över 23 000 SSL-certifikat som utfärdats via Trustico.
    Denna incident belyser vikten av att följa CA/B Forums riktlinjer, vilka kräver säker lagring och hantering av privata nycklar för att förhindra obehörig åtkomst. Om Trustico hade följt dessa regler hade intrånget kunnat undvikas, vilket bibehållit användarnas förtroende och undvikit massåterkallelser som störde företag som förlitar sig på dessa certifikat.

Certifikathantering

Förhindra certifikatavbrott, effektivisera IT-verksamheten och uppnå flexibilitet med vår certifikathanteringslösning.

Boka en demo

Bästa praxis för att minska risker och säkerställa efterlevnad av CA/B-forum

Genom att följa bästa praxis kan vi effektivt minska risker och stärka säkerheten för vår organisation. Dessutom gör bästa praxis att vi förblir reglerade och relevanta i teknikens värld.    

1. Automatisera certifikathantering

Att automatisera certifikathantering är en viktig del av detta. Att använda verktyg som CertSecure-hanterare kan hjälpa till att automatisera förnyelse och övervakning av SSL-certifikat. Detta säkerställer att certifikaten alltid är aktuella och inte löper ut utan föregående meddelande. Dessutom automatiserar protokoll som ACME, som används av Let's Encrypt, utfärdande och förnyelse av SSL/TLS-certifikat, vilket bidrar till att upprätthålla säkerhet och efterlevnad. 

Till exempel kommer ett företag som automatiserar sin certifikatförnyelseprocess att undvika säkerhetsvarningar på sin webbplats och bibehålla användarnas förtroende. Utan automatisering kan utgångna certifikat leda till att webbläsare visar säkerhetsvarningar, vilket kan få användare att lämna webbplatsen, vilket påverkar både företaget och dess rykte. 

2. Regelbundna revisioner och övervakning

Granska regelbundet certifikat för att säkerställa efterlevnad och snabbt upptäcka eventuella sårbarheter eller utgångna certifikat. Har du någonsin tappat koll på alla appar som är installerade på din telefon? Vissa kan vara gamla eller oanvända, men de finns fortfarande kvar, tar upp plats eller orsakar till och med problem. Detsamma gäller dina certifikat.

3. Följ starka krypteringsstandarder

Följ de senaste krypteringskraven, såsom 2048-bitnycklar för RSA, för att garantera stark säkerhet. Tänk dig att ditt Wi-Fi inte har något lösenord. Vem som helst i närheten kan hoppa på och störa din anslutning. Det är vad som händer när företag använder svag kryptering. Så, precis som starka Wi-Fi-lösenord, måste vi också använda kraftfulla SSL-nycklar, som skapar superstarka digitala lås.    

4. Implementera rollbaserad åtkomstkontroll (RBAC)

Att implementera rollbaserad åtkomstkontroll (RBAC) är ett viktigt steg i att hantera certifikatsäkerhet och säkerställa efterlevnad av CA/B Forum-standarder. Genom att begränsa åtkomst till certifikathanteringsuppgifter baserat på användarroller minskar RBAC risken för obehöriga ändringar och förbättrar säkerheten. Detta säkerställer att endast behörig personal kan ändra, förnya eller övervaka certifikat, vilket förhindrar oavsiktliga eller skadliga ändringar. 

Verktyg som våra CertSecure-hanterare (Certifikathanteringsverktyg) och vår CodeSign Secure (Verktyg för kodsignering) gör det enklare att implementera RBAC effektivt i ditt befintliga arbetsflöde. CertSecure Manager låter dig automatisera certifikatförnyelser och övervakning samtidigt som du tillämpar RBAC, vilket säkerställer att endast rätt individer har tillgång till kritiska certifikathanteringsfunktioner. CodeSign Secure säkerställer att endast betrodda användare kan signera programkod, vilket förhindrar manipulation. Dessa metoder hjälper inte bara till att minska säkerhetsrisker utan överensstämmer också med CA/B Forums bästa praxis, vilket säkerställer att din organisation förblir kompatibel och säker. 

5. Plan för incidenthantering

Vid säkerhetsproblem har du en plan för att snabbt återkalla komprometterade certifikat och ersätta dem med nya, vilket begränsar skadorna vid säkerhetsproblem.     

Ett teknikföretag fick en gång sitt SSL/TLS-certifikat stulet och satt fast i dagar utan en plan. De kämpade för att återkalla det komprometterade certifikatet och ersätta det snabbt, vilket orsakade stora störningar i deras tjänster. För att förhindra detta bör företag automatisera återkallelse och ersättning av certifikat med hjälp av verktyg som CertSecure Manager eller ACME-protokoll. Till exempel kan CertSecure Manager omedelbart återkalla ett komprometterat certifikat och utfärda ett nytt, vilket säkerställer minimal driftstopp och hindrar hackare från att utnyttja det stulna certifikatet. Denna metod säkerställer att verksamheten förblir säker och löper smidigt under nödsituationer. 

Hur kan krypteringskonsultation hjälpa till? 

Med djupgående expertis inom säkerhet och efterlevnad ger vi organisationer möjlighet att navigera komplexiteten i CA/B Forum-riktlinjerna samtidigt som vi minskar certifikatrelaterade risker. Företag kan effektivisera sin certifikathantering genom verktyg som CertSecure-hanterare, automatisera certifikatförnyelser och regelbundet granska sina system för att identifiera sårbarheter. Vi hjälper också till att implementera säkerhetspolicyer, såsom rollbaserad åtkomstkontroll (RBAC), vilket säkerställer att endast behöriga användare kan hantera certifikat. 

Som en del av vårt engagemang för att stärka säkerheten rekommenderar vi att använda elliptisk kurvkryptografi (ECC) för SSL / TLS certifikat. ECC erbjuder samma säkerhetsnivå som traditionell RSA med mindre nyckelstorlekar, vilket gör det mer effektivt och mindre resurskrävande, vilket är särskilt fördelaktigt för mobila enheter och IoT-enheter. Dessutom stöder vi utfasningen av svaga chiffer som RC4 och 3DES i SSL/TLS-kommunikation i linje med CA / B Forum rekommendationer, vilket säkerställer att organisationer anammar moderna krypteringsmetoder för förbättrad säkerhet. Genom våra lösningar som Kodsignering och tjänster tycka om HSM-som-en-tjänstoch PKI-som-en-tjänstVi hjälper företag att bygga förtroende hos sina användare samtidigt som vi upprätthåller de högsta krypteringsstandarderna. 

Slutsats  

Att följa CA/B-forumets riktlinjer är avgörande för att hålla digitala certifikat säkra och tillförlitliga. Automatisera certifikathantering med hjälp av starkare kryptering som ECC, och att se till att komprometterade certifikat återkallas snabbt hjälper till att förebygga risker. Verktyg som CertSecure-hanterare och CodeSign Secure göra det enklare för organisationer att följa reglerna och skydda sin programvara. Genom att följa dessa metoder kan företag behålla sina system säkra och bygga förtroende hos sina användare. 

Utforska

Fler ämnen