Крупнейшие центры сертификации, включая Symantec, Trend Micro, GlobalSign, Go Daddy, Comodo, DigiCert и Entrust, объявили о формировании Совета по безопасности центров сертификации (Certificate Authority Security Council, CASC).
Новая организация займётся изучением наиболее актуальных проблем в безопасности нынешней инфраструктуры сертификации, помощью в разработке стандартов, а также улучшением всей экосистемы за счёт образования. Заявленная миссия CASC — улучшать безопасность интернета, в том числе продвигая правильные способы использования публичных сертификатов. Организация ставит своей целью также развенчать существующие мифы:
- отсутствует система регулирования центров сертификации;
- центры сертификации не нужны;
- все выдаваемые сертификаты одинакового типа;
- центры сертификации — изолированные и закоснелые организации, которые не готовы принимать необходимые изменения в протоколе SSL;
- протокол SSL не пригоден для использования и нужно найти альтернативный метод аутентификации в онлайне;
- SSL устарел и содержит слишком много уязвимостей, чтобы полагаться на него в долговременной перспективе;
- поскольку существует более 600 центров сертификации, выдавать сертификаты SSL может практически кто угодно, так что они ничего не гарантируют;
- процедура отзыва сертификатов или не нужна, или не работает, а её преимущества не перевешивают потенциальных проблем с производительностью браузеров;
- у центров сертификации нет стимула для инноваций и осуществления необходимых изменений.
Все эти мифы новый Совет будет развенчивать в меру своих сил, распространяя обучающие материалы и программы образования пользователей.
Первой практической задачей, которой займётся Совет, будет продвижение протокола Online Certificate Status Protocol (OSCP) и стандарта Certificate Status Request для выдачи сервером статуса сертификата в процессе SSL-рукопожатия, описанного в RFC 6066, раздел 8.
