Per rendere sicuro il web vengono definiti degli standard che le autorità di certificazione e i browser devono rispettare. Il Certificate Authority/Browser (CA/B) Forum è l'organismo di normalizzazione che collabora in materia di sicurezza dei siti web. Formato da circa 50 autorità di certificazione (CA) e 9 browser, il CA/B Forum rappresenta soggetti che svolgono un ruolo chiave nella sicurezza dei siti web. L'attuale standard di settore per la sicurezza dei siti web è la crittografia TLS/SSL, ma la sicurezza online comprende molti più aspetti, ed è il Forum a occuparsene.

Questo post fornirà alcune informazioni sul funzionamento del Forum e sul ruolo che DigiCert ricopre in esso in quanto CA. Per prima cosa, spieghiamo cosa fa il Forum.

Cos'è il CA/B Forum?

In parole semplici, il Forum è un'organizzazione volontaria delle maggiori CA, come DigiCert, e di fornitori di software per i browser Internet, come Google Chrome e Apple Safari. Dal 2006 il Forum ha definito gli standard per il settore CA sulla base delle best practice dello stesso. Questi standard migliorano l'utilizzo che ciascuno fa dei certificati TLS, a beneficio di tutti gli utenti internet e a protezione delle loro comunicazioni.

Cosa fa il CA/B Forum?

Il Forum definisce degli standard, chiamati Baseline Requirement, a cui tutte le CA pubbliche devono aderire, che facciano parte del Forum o meno. Le CA vengono sottoposte ad audit almeno una volta all'anno per verificare la conformità agli standard, e i report di questi controlli sono poi messi a disposizione dei browser. Ogni irregolarità deve essere corretta, il che può rendere necessaria la revoca dei certificati. In quanto organismo di normalizzazione il Forum non ha il compito di assicurare l'osservanza dei requisiti e non ha l'autorità per concedere deroghe.

Storia del CA/B Forum

Il Forum si è incontrato per la prima volta nel 2005, e già nel 2006 aveva acquisito popolarità e credibilità. Nel 2007 sono stati adottati i certificati Extended Validation (EV) e le loro linee guida, apportando migliorie agli esistenti requisiti di convalida dell'identità, al tempo non standardizzati. Le CA e i browser si incontravano in via informale per mettere insieme degli standard di settore riguardo emissioni, revoche e altre questioni di sicurezza. In seguito hanno pubblicato standard per i certificati Organization Validation (OV) e Domain Validation (DV). Il Forum è stato fondato negli U.S.A., ma nel tempo si è esteso fino a includere membri appartenenti ad altre aree geografiche, tra cui Europa e Asia.

Perché è importante

Il Forum prende decisioni sulla base delle conoscenze sia dei browser che delle CA. Spesso le CA raccolgono informazioni e opinioni dai loro clienti per prendere decisioni ponderate e aggiornare il Forum sugli sviluppi del settore durante gli incontri.

DigiCert è in prima linea per i suoi clienti e per coloro che utilizzano i certificati. Dopo aver ascoltato le richieste dei nostri clienti, riportiamo al Forum suggerimenti e sviluppi basati sulle informazioni raccolte. Ma questo funziona solo fintanto che tutti i membri lavorano insieme e sono consapevoli del fatto che le best practice sono più efficaci se si basano sulle esigenze di tutte le principali parti coinvolte.

Come funziona il CA/B Forum

Gli standard per la sicurezza dei siti web non sono immutabili. Si adattano alle esigenze del settore e sono in continua evoluzione. È il Forum a modificarli, attraverso un processo di votazione.

Ogni membro ha la facoltà di proporre un'idea o una modifica ai Baseline Requirement. Una volta raggiunto il consenso generale sul fatto che la proposta apporterà dei benefici alla sicurezza o all'operatività, colui che l'ha avanzata può presentare il documento della proposta, che avrà le modifiche ben evidenziate, ad esempio barrando con una linea rossa il vecchio requisito.

Il Forum terrà allora una discussione organizzata sulle modifiche proposte, e il proponente potrà scegliere di cambiare o sostituire completamente il testo provvisorio in base ai risultati della discussione. Quando il proponente ritiene che la proposta sia pronta, si passa alla votazione. Per ottenere l'approvazione, la proposta deve essere votata da due terzi delle CA e dalla maggioranza dei browser.

Il Forum ricorre a diverse modalità di comunicazione: mailing list, teleconferenze, riunioni in presenza e il sito web del CA/B Forum. Le email indicano dove hanno luogo le discussioni e contengono i verbali di tutte le teleconferenze e delle riunioni in presenza, che sono disponibili al pubblico e consentono di tenere traccia degli eventi del Forum.

È anche ammessa la partecipazione di parti interessate non votanti. Possono essere parti interessate tutti coloro che desiderano dare un contributo a ciò che sta avvenendo nel Forum. Possono leggere le mailing list, inviare e rispondere ai messaggi, ma non possono votare.

Nel 2016 il Forum si è riorganizzato per fare spazio a gruppi di lavoro aggiuntivi che potessero dedicarsi alle specifiche di altri tipi di certificati, come quelli per la firma del codice e i certificati S/MIME. Per questi gruppi di lavoro, le CA vengono chiamate "Certificate Issuer", e le applicazioni e i sistemi operativi che usano questi certificati "Certificate Consumer". Il nome CA/Browser Forum è ora un po' anacronistico, dato che per due classi di certificati su tre i Certificate Consumer non sono browser.

Il contributo di DigiCert al CA/B Forum

DigiCert è una delle CA co-fondatrici e prende parte al Forum per garantire che Internet sia uno spazio sicuro e protetto per i suoi clienti e i loro utenti. Inoltre, membri dello staff di DigiCert sono anche a capo di diversi gruppi di lavoro del Forum. Dean Coclin è il nuovo presidente del Forum e presidente del Code Signing Working Group, Tim Hollebeek è a capo del sottocomitato di convalida, e Stephen Davidson è presidente del gruppo di lavoro S/MIME.

Questi sono alcuni dei temi in cui DigiCert è stata recentemente coinvolta:

• Requisiti per profili di certificato: DigiCert è stata fortemente coinvolta nel progetto per migliorare il modo in cui vengono espressi i requisiti per i profili certificato, facendo maggior chiarezza su cosa sia o non sia concesso. Il modo in cui sono espressi ora è confuso e frammentato, il che porta a numerosi disaccordi sul fatto che diversi certificati siano stati emessi nel modo corretto o meno.
• Quantum Computing: DigiCert aggiorna regolarmente il Forum sui computer quantistici e sulla crittografia post-quantistica.
• Firma del codice: DigiCert sta lavorando insieme a Microsoft nel Code Signing Working Group per trovare un modo per passare ad algoritmi crittografici più potenti per la firma del codice, senza compromettere il gran numero di applicazioni e dispositivi che già la utilizzano.
• S/MIME: DigiCert sta aiutando il gruppo di lavoro S/MIME a raccogliere gli standard esistenti per i certificati email. Il gruppo sta facendo progressi nella creazione della versione 1.0 dei S/MIME Baseline Requirement.
• Miglioramenti nella convalida dell'identità: A differenza di altre CA, secondo cui l'identificazione nei certificati serve solo per prevenire il phishing e le esistenti pratiche di convalida sono sufficienti, DigiCert ritiene che servano robuste tecnologie di identificazione per offrire al web una solida PKI, e ha proposto diversi importanti miglioramenti per la convalida dell'identità, alcuni dei quali sono stati adottati.

Tutti i membri del Forum lavorano per creare norme che rendano Internet un luogo più sicuro, ma esistono diverse opinioni su come raggiungere questo obiettivo. DigiCert, secondo il suo punto di vista, sostiene norme a favore della sicurezza digitale e del settore.

Cosa decide il CA/B Forum

Le decisioni prese dal Forum sono contenute nel Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates.

Decisioni recenti

• Nell'agosto del 2019 è stata avanzata da Google la proposta SC22 di ridurre il periodo di validità dei certificati TLS a un anno. La proposta è stata respinta dal Forum, il che significa che il periodo massimo di validità dei certificati resta di due anni. Tuttavia nel 2020 Apple ha preso la decisione unilaterale di portare il periodo di validità a un anno, e molti dei principali browser hanno seguito l'esempio. DigiCert è a favore dell'adozione di certificati con validità annuale.
• Con la proposta SC25 sono stati adottati requisiti tecnici più stringenti per la convalida del dominio HTTP.
• La proposta SC30 ha imposto alle CA di indicare quali agenzie di registrazione utilizzano per verificare le informazioni sull'identità. Questo è stato uno dei miglioramenti nella convalida dell'identità proposti da DigiCert.
• Con la proposta SC31 diversi requisiti che si trovavano originariamente in vari programmi radice sono stati trasferiti nei Baseline Requirement. La gestione di questi requisiti attraverso il Forum, anche se non perfetta, è in genere migliore di quella unilaterale dei programmi radice.
• La proposta SC33 ha aggiunto un nuovo metodo di convalida basato sull'RFC 8737 della IETF, che va a sostituire un precedente metodo di convalida della IETF ritirato per problemi di sicurezza. La proposta è stata appoggiata da DigiCert.
• Con la proposta 4 del Code Signing Working Group sono state rinviate alcune scadenze per il passaggio a metodi di crittografia più robusti, per avere il tempo per una transizione senza problemi. La proposta è stata presentata da DigiCert.
• Nel 2020 è stata approvata la proposta per la creazione del gruppo di lavoro S/MIME. Il CA/B Forum ha recentemente approvato una proposta per creare un nuovo gruppo di lavoro sugli standard di sicurezza minimi dei certificati S/MIME pubblicamente attendibili. Presidente del gruppo è Stephen Davidson di DigiCert.

Uno sguardo al futuro

Per arrivare a prendere queste decisioni nel corso degli incontri, il Forum deve affrontare non poche problematiche e dibattiti. Certamente il lavoro del Forum continuerà a rivelarsi complesso anche in futuro. Ci aspettiamo che il Forum porti avanti la discussione sui seguenti temi:

• Regole di convalida dei certificati. Ci aspettiamo che le regole di convalida dei certificati si facciano più stringenti e che la durata della loro validità si riduca, al fine di aumentare la sicurezza del web. I browser hanno espresso il desiderio di ridurre ulteriormente il periodo di validità, oltre che di abbreviare il riutilizzo dei dati di convalida. È probabile che il numero di campi consentiti nei certificati continuerà a diminuire, in linea con le richieste dei browser.
• Ulteriori azioni da parte dei browser per limitare o eliminare i metodi di convalida. Chrome ad esempio sta spingendo per eliminare in tempi brevi la convalida del dominio HTTP per certificati wildcard. Al momento non è chiaro se ci riuscirà o meno.
• Il campo Organizational Unit nei certificati. Questo campo è stato in passato utilizzato per una varietà di scopi, ma i browser non hanno intenzione di lasciare che questo continui. Probabilmente verrà vietato nel 2021.
• Standard S/MIME. Questo gruppo di lavoro sta facendo eccellenti progressi nella creazione di un profilo per certificati di sicurezza email. Una volta che il profilo sarà completato e approvato dal Forum, si passerà agli standard per gli audit.

Tieniti informato

In questo articolo abbiamo fatto un'introduzione sul funzionamento del CA/B Forum. Ma abbiamo appena scalfito la superficie. Pubblichiamo aggiornamenti regolari sulle decisioni del Forum e sulle ultime tendenze nel settore sul blog DigiCert. Quindi, per avere informazioni puntuali su DigiCert e sulle norme e gli standard del CA/B Forum, tieniti aggiornato leggendo il nostro blog. Se vuoi saperne di più su come DigiCert può esserti d'aiuto, contattaci.