行业新闻与博客

CA / B 论坛上有关 EV 证书改进的更新

DigiCert 积极参加了多个行业标准小组和讨论。今年,由于 COVID-19 的限制,许多面对面的活动都被取消了,这使得通过边际对话来促进发展的关系变得更加困难。但是,无论是通过现场讨论还是虚拟讨论,我们始终致力于提高 Internet 安全性。CA / 浏览器(CA / B)论坛在两周前举行了一次虚拟的面对面活动,浏览器和 CA 认为了几个重要的举措。这里有一些重点。



潜在的电动汽车增强功能



DigiCert 继续关注身份在在线交易中的重要性,在上周的 CA / B 论坛上,由于我们在去年6月的希腊会议上提出了四种改进 EV 证书的新思路,因此我们总结了有关 EV 改进的工作。我们还重点介绍了其他想法,以帮助依赖方确定证书的主题实际上是他们期望的组织,例如:



公司开展业务的时间(将已经开展业务多年的站点与新创建的站点区分开来),

它的总部和

业务类别是什么。

有人指出,这些信息不必包含在证书本身中,我们对此表示赞同。该证书可以包含该组织的全局唯一标识符,从而允许将更详细的信息存储在其他位置。实际上,这正是银行使用法人实体标识符(LEI)识别组织时所依赖的策略。DigiCert 仍然支持将 LEI 包含在证书中,并认为可以将它们用于允许依赖方在做出信任决策时掌握更多的信息。



DigiCert 将继续与互联网上感兴趣的各方进行交流,以收集他们的反馈意见,这些改进将在 EV 上增强网络上的信任度和安全性,然后将这些思想带入 CA / B 论坛。我们也可能在可能的情况下单方面实施最佳建议。



S / MIME 投票通过



CA / B 论坛最近通过了投票,以创建一个有关公众信任的 S / MIME 证书的最低安全标准的新工作组。S / MIME 工作组的前两个优先级是 S / MIME 证书的证书配置文件和电子邮件地址的统一验证规则,无论是通过确认对地址本身还是整个域的控制。S / MIME 工作组章程还明确指出了数字证书中真实身份的重要性,并允许讨论对它们的要求。我们期待着这项旨在加强电子邮件加密和安全性的重要工作。



共享受损的密钥数据库



近来,关于是否适合为已知被泄露的密钥对颁发证书的讨论很多,因为这些证书不能提供数字证书所期望的安全性保证。生态系统中的共识是,至少,证书颁发机构(CA)不应为先前已报告给他们的密钥被泄露而颁发证书。



当然,出于相同的原因,如果 CA 也不要为已知会被其他 CA 破坏的密钥颁发证书,那就更好了。因此,在本次论坛期间,DigiCert 宣布将允许其他 CA 查询我们的泄露密钥数据库并提交自己的泄露密钥。



与 ETSI 合作



在最近的一次会议上,欧洲电信标准协会(ETSI)从去年开始正式批准 DigiCert 的成员资格申请。ETSI 负责制定欧洲数字证书和签名的标准。ETSI 以及欧洲法律早就认识到公钥基础结构中真实身份的价值。DigiCert 已与 ETSI 紧密合作了一段时间,现已被批准为标准组织的成员。这将帮助我们加强支持和改进欧洲数字证书标准的努力。



未来讨论项目



CA / B 论坛继续关注 EV 代码签名准则和网络安全准则的更新。在其他地方,DigiCert 仍然参与为量子后证书定义标准,并与 ANSI X9 有关用于金融用例的新公钥基础结构。在这些主题以及更多内容中寻找我们将来的更新。



本文由机器译制

需要帮助吗?联系我们的支持团队 在线客服