S/MIME Certificate Working Group del CA/Browser Forum si impegna a redarre uno standard di riferimento per i certificati email S/MIME

Di Stephen Davidson, Governance, Risk and Compliance in DigiCert e presidente dello S/MIME Certificate Working Group

S/MIME Certificate Working Group (SMCWG) è il nuovo sottogruppo specializzato del CA/Browser Forum, impegnato nella creazione dei primi standard globali per le autorità di certificazione (CA) che emettono i certificati digitali usati nelle email per

• creare firme digitali e proteggere l'integrità dei contenuti delle email o per confermare la loro origine o autenticità; a volte, la firma è usata per esprimere assenso o adesione al contenuto
• crittografare il messaggio per proteggerne la riservatezza

Formatosi nell'agosto del 2020, SMCWG vede al suo interno già 37 membri che rappresentano le maggiori CA mondiali, soggetti che si avvalgono del servizio di certificazione (tra cui figurano importanti provider di posta elettronica e di servizi cloud, inclusi email gateway per imprese), enti regolatori come WebTrust e lo European Accredited Conformity Assessment Bodies Council, ed esperti del settore.

Perché è necessario uno standard globale S/MIME?

Parte delle difficoltà che SMCWG si trova ad affrontare è che i certificati S/MIME possono essere distribuiti in più modi, a differenza di altri, come i certificati TLS/SSL. Ad esempio, le chiavi possono essere generate e custodite in locale da un utente in un software, in un dispositivo mobile o in un token crittografico. Ma possono anche essere custodite nel cloud in un servizio di posta elettronica, in un servizio di gestione delle chiavi per imprese, oppure in un email gateway. A volte lo S/MIME è una funzionalità aggiuntiva per quei certificati usati per l'autenticazione o la firma. E a causa della necessità di conservare i dati, alcune aziende cercano di trattenere come garanzia le chiavi private usate per la crittografia in quei casi in cui le email devono essere archiviate.

Inoltre, la maggior parte degli standard esistenti per i certificati S/MIME sono specifici di un settore, di una piattaforma o di un programma del settore pubblico. Di conseguenza, in passato gran parte delle applicazioni di posta elettronica sono state permissive nella creazione di certificati, permettendo alle funzionalità S/MIME di operare fintanto che non vi fossero difetti insanabili nel sistema di crittografia.

SMCWG ha le competenze per creare i primi standard di riferimento per i certificati S/MIME, integrando gli standard tecnici esistenti, così come le best practice dagli attuali requisiti di settore, tra cui quelle di Mozilla, Gmail, U.S. Federal PKI ed ETSI. Anche se destinati ai certificati pubblici, gli standard di riferimento S/MIME che verranno creati saranno ugualmente di interesse per la distribuzione di certificati S/MIME privati, come nel caso di quelle imprese che vogliono costituire un'interoperabilità con altri gruppi.

In cosa consisteranno gli standard di riferimento S/MIME?

SMCWG ha stabilito un programma di lavoro che prevede come primo obiettivo quello di creare profili di riferimento per l'emissione di certificati CA e leaf. Per la versione iniziale degli standard l'intento sarà quello di documentare i requisiti fondamentali e le best practice attualmente in uso per ricavarne il prima possibile uno standard valido. Nelle versioni future invece si lavorerà ad innalzare il livello, ad esempio identificando aspetti del certificato che potrebbero aiutare i destinatari del servizio a valutare il rischio di uno di questi documenti elettronici.

In aggiunta, gli standard di riferimento S/MIME definiranno i processi essenziali consentiti affinché le CA verifichino il controllo sugli indirizzi di posta elettronica, che sia per una singola casella email o per un'impresa che controlla tutte le caselle sotto un dominio.

Gli standard di riferimento S/MIME includeranno anche aspetti già affrontati nei CA/B Forum’s Baseline Requirements, come gestione delle chiavi, ciclo vita di un certificato e prassi operative delle CA, inclusa la sicurezza fisica e logica.

SMCWG ha deciso di affrontare il tema della convalida dell'identità per persone fisiche e soggetti giuridici in un secondo momento. Questo permetterà in parte al gruppo di raccogliere informazioni sui campi SubjectDN in uso e la loro logica, dato che non vi è trasparenza nei certificati su questo aspetto.

Una migliore protezione S/MIME per la posta elettronica

Altri standard CA/B Forum hanno avuto un ruolo rilevante nel migliorare la sicurezza di altri tipi di certificati, come TLS/SSL e firma del codice nell'intero ecosistema CA, attraverso una chiara documentazione di specifici requisiti che possono così essere implementati attraverso root store e controlli indipendenti. Dato il sempre più crescente interesse nella privacy dei dati, riteniamo che i futuri standard di riferimento S/MIME porteranno una maggiore sicurezza nelle comunicazioni di posta elettronica.