Per rendere sicuro il web vengono definiti degli standard che le autorità di certificazione e i browser devono rispettare. Il Certificate Authority/Browser (CA/B) Forum è l'organismo di normalizzazione che collabora in materia di sicurezza dei siti web. Formato da circa 50 autorità di certificazione (CA) e 9 browser, il CA/B Forum rappresenta soggetti che svolgono un ruolo chiave nella sicurezza dei siti web. L'attuale standard di settore per la sicurezza dei siti web è la crittografia TLS/SSL, ma la sicurezza online comprende molti più aspetti, ed è il Forum a occuparsene.
Questo post fornirà alcune informazioni sul funzionamento del Forum e sul ruolo che DigiCert ricopre in esso in quanto CA. Per prima cosa, spieghiamo cosa fa il Forum.
In parole semplici, il Forum è un'organizzazione volontaria delle maggiori CA, come DigiCert, e di fornitori di software per i browser Internet, come Google Chrome e Apple Safari. Dal 2006 il Forum ha definito gli standard per il settore CA sulla base delle best practice dello stesso. Questi standard migliorano l'utilizzo che ciascuno fa dei certificati TLS, a beneficio di tutti gli utenti internet e a protezione delle loro comunicazioni.
Il Forum definisce degli standard, chiamati Baseline Requirement, a cui tutte le CA pubbliche devono aderire, che facciano parte del Forum o meno. Le CA vengono sottoposte ad audit almeno una volta all'anno per verificare la conformità agli standard, e i report di questi controlli sono poi messi a disposizione dei browser. Ogni irregolarità deve essere corretta, il che può rendere necessaria la revoca dei certificati. In quanto organismo di normalizzazione il Forum non ha il compito di assicurare l'osservanza dei requisiti e non ha l'autorità per concedere deroghe.
Il Forum si è incontrato per la prima volta nel 2005, e già nel 2006 aveva acquisito popolarità e credibilità. Nel 2007 sono stati adottati i certificati Extended Validation (EV) e le loro linee guida, apportando migliorie agli esistenti requisiti di convalida dell'identità, al tempo non standardizzati. Le CA e i browser si incontravano in via informale per mettere insieme degli standard di settore riguardo emissioni, revoche e altre questioni di sicurezza. In seguito hanno pubblicato standard per i certificati Organization Validation (OV) e Domain Validation (DV). Il Forum è stato fondato negli U.S.A., ma nel tempo si è esteso fino a includere membri appartenenti ad altre aree geografiche, tra cui Europa e Asia.
Il Forum prende decisioni sulla base delle conoscenze sia dei browser che delle CA. Spesso le CA raccolgono informazioni e opinioni dai loro clienti per prendere decisioni ponderate e aggiornare il Forum sugli sviluppi del settore durante gli incontri.
DigiCert è in prima linea per i suoi clienti e per coloro che utilizzano i certificati. Dopo aver ascoltato le richieste dei nostri clienti, riportiamo al Forum suggerimenti e sviluppi basati sulle informazioni raccolte. Ma questo funziona solo fintanto che tutti i membri lavorano insieme e sono consapevoli del fatto che le best practice sono più efficaci se si basano sulle esigenze di tutte le principali parti coinvolte.
Gli standard per la sicurezza dei siti web non sono immutabili. Si adattano alle esigenze del settore e sono in continua evoluzione. È il Forum a modificarli, attraverso un processo di votazione.
Ogni membro ha la facoltà di proporre un'idea o una modifica ai Baseline Requirement. Una volta raggiunto il consenso generale sul fatto che la proposta apporterà dei benefici alla sicurezza o all'operatività, colui che l'ha avanzata può presentare il documento della proposta, che avrà le modifiche ben evidenziate, ad esempio barrando con una linea rossa il vecchio requisito.
Il Forum terrà allora una discussione organizzata sulle modifiche proposte, e il proponente potrà scegliere di cambiare o sostituire completamente il testo provvisorio in base ai risultati della discussione. Quando il proponente ritiene che la proposta sia pronta, si passa alla votazione. Per ottenere l'approvazione, la proposta deve essere votata da due terzi delle CA e dalla maggioranza dei browser.
Il Forum ricorre a diverse modalità di comunicazione: mailing list, teleconferenze, riunioni in presenza e il sito web del CA/B Forum. Le email indicano dove hanno luogo le discussioni e contengono i verbali di tutte le teleconferenze e delle riunioni in presenza, che sono disponibili al pubblico e consentono di tenere traccia degli eventi del Forum.
È anche ammessa la partecipazione di parti interessate non votanti. Possono essere parti interessate tutti coloro che desiderano dare un contributo a ciò che sta avvenendo nel Forum. Possono leggere le mailing list, inviare e rispondere ai messaggi, ma non possono votare.
Nel 2016 il Forum si è riorganizzato per fare spazio a gruppi di lavoro aggiuntivi che potessero dedicarsi alle specifiche di altri tipi di certificati, come quelli per la firma del codice e i certificati S/MIME. Per questi gruppi di lavoro, le CA vengono chiamate "Certificate Issuer", e le applicazioni e i sistemi operativi che usano questi certificati "Certificate Consumer". Il nome CA/Browser Forum è ora un po' anacronistico, dato che per due classi di certificati su tre i Certificate Consumer non sono browser.
DigiCert è una delle CA co-fondatrici e prende parte al Forum per garantire che Internet sia uno spazio sicuro e protetto per i suoi clienti e i loro utenti. Inoltre, membri dello staff di DigiCert sono anche a capo di diversi gruppi di lavoro del Forum. Dean Coclin è il nuovo presidente del Forum e presidente del Code Signing Working Group, Tim Hollebeek è a capo del sottocomitato di convalida, e Stephen Davidson è presidente del gruppo di lavoro S/MIME.
Questi sono alcuni dei temi in cui DigiCert è stata recentemente coinvolta:
Tutti i membri del Forum lavorano per creare norme che rendano Internet un luogo più sicuro, ma esistono diverse opinioni su come raggiungere questo obiettivo. DigiCert, secondo il suo punto di vista, sostiene norme a favore della sicurezza digitale e del settore.
Le decisioni prese dal Forum sono contenute nel Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates.
Decisioni recenti
Per arrivare a prendere queste decisioni nel corso degli incontri, il Forum deve affrontare non poche problematiche e dibattiti. Certamente il lavoro del Forum continuerà a rivelarsi complesso anche in futuro. Ci aspettiamo che il Forum porti avanti la discussione sui seguenti temi:
In questo articolo abbiamo fatto un'introduzione sul funzionamento del CA/B Forum. Ma abbiamo appena scalfito la superficie. Pubblichiamo aggiornamenti regolari sulle decisioni del Forum e sulle ultime tendenze nel settore sul blog DigiCert. Quindi, per avere informazioni puntuali su DigiCert e sulle norme e gli standard del CA/B Forum, tieniti aggiornato leggendo il nostro blog. Se vuoi saperne di più su come DigiCert può esserti d'aiuto, contattaci.