DigiCert hält Sie über Neuigkeiten der Branche auf dem Laufenden und informiert regelmäßig über Aktuelles vom CA/B Forum
Das CA/Browser Forum traf sich vom 20.–22. Okt. zum virtuellen Herbstmeeting. Im CA/B Forum gibt es einen zunehmenden Trend, die in Zertifikaten autorisierten Felder zu begrenzen, und Google hat mehrere Neuheiten angekündigt – unter anderem soll Chrome einen eigenen Root-Store für Zertifikate bekommen.
Das Feld Organizational Unit (OU) ist seit 25 Jahren Bestandteil der Zertifikatstruktur, doch sein Zweck wurde in letzter Zeit des Öfteren infrage gestellt. Das OU-Feld ist optional und hat nur einen begrenzten Zweck. Bei den Daten im Feld handelt es sich um eigene Angaben des Ausstellers, die nicht von der Zertifizierungsstelle überprüft werden. Um also mögliche Unklarheiten und fehlerhafte Daten zu vermeiden, erwägt das CA/B Forum, das Feld zu entfernen.
Wir gehen davon aus, dass in naher Zukunft über die Entfernung dieses Felds abgestimmt werden wird. Die Abstimmung wird wahrscheinlich noch vor Ende des Jahres stattfinden und das Ergebnis realistischen Schätzungen zufolge binnen sechs Monaten nach der Abstimmung umgesetzt werden. Derzeit betrifft dies speziell TLS-Zertifikate; weitere Zertifikattypen wie Code Signing und S/MIME könnten folgen.
Bei DigiCert haben wir bereits mit dieser Änderung gerechnet und Kunden deshalb dahingehend sensibilisiert, das OU-Feld nicht länger zu verwenden. Sie werden das OU-Feld nicht länger in Bestellformularen finden und es wird aus sämtlichen neuen, verlängerten oder erneut ausgestellten öffentlichen TLS-Zertifikaten entfernt. Für die Umstellung gibt es eine Übergangsphase. Die Neuerung wirkt sich jedoch nicht auf bereits ausgestellte Zertifikate mit einem gültigen OU-Feld aus.
Bislang nutzte Chrome die Root-Stores des jeweils verwendeten Betriebssystems, wie Windows, Android oder Apple iOS, aber keinen eigenen. Nun jedoch hat Google verkündet, dass eine eigene Root-Richtlinie für den Browser Chrome entwickelt werden soll. Und dabei werden auch eigene Standards für das Root-Programm erarbeitet.
Damit bei Ihrer Website in Chrome das Vorhängeschloss angezeigt wird und nicht die Warnung „Nicht sicher“ erscheint, muss im Root-Store des Browsers ein gültiges Zertifikat einer Zertifizierungsstelle hinterlegt sein. DigiCert gehört zu den Zertifizierungsstellen, die im Root-Store von Chrome als vertrauenswürdig eingestuft sind. Wenn Sie also über ein DigiCert-Zertifikat verfügen, müssen Sie nichts weiter tun.
DigiCert ist auch stark in die neue S/MIME-Arbeitsgruppe des CA/B Forum eingebunden. Stephen Davidson von DigiCert hat sogar den Vorsitz inne. S/MIME gibt es zwar bereits seit Langem, doch fehlten bisher allgemeingültige Standards für diese Art von Zertifikaten. DigiCert plädiert für die Anwendung von Best Practices, wie potenzielle Verbesserungen an den EV-Standards und die Beobachtung der Entwicklungen auf dem Gebiet des Post-Quantencomputing, um Standards für Post-Quanten-Zertifikate zu definieren. Weitere Informationen zur S/MIME-Arbeitsgruppe und Neues vom CA/B Forum finden Sie in zukünftigen Blogbeiträgen. Schauen Sie regelmäßig in unserem Blog vorbei oder folgen Sie uns unter @digicert, um über die neuesten Branchentrends auf dem Laufenden zu bleiben.