Квалифицированный сертификат аутентификации веб-сайта

Квалифицированный сертификат аутентификации веб-сайта ( сертификат QWAC ) — это квалифицированный цифровой сертификат в рамках доверенных служб, определенных в Европейского Союза Регламенте eIDAS .

за 2016 год В отчете Агентства Европейского Союза по кибербезопасности было предложено шесть стратегий и двенадцать рекомендуемых действий в качестве расширенного подхода, нацеленного на наиболее важные аспекты, которые считаются критически важными для улучшения рынка аутентификации веб-сайтов в Европе, и успешного внедрения квалифицированных сертификатов аутентификации веб-сайтов в качестве средства повышения прозрачности. этот рынок. ^{[ 1 ]}

QWAC в контексте других стандартов

Существуют различные типы сертификатов аутентификации веб-сайтов, которые различаются содержимым, содержащимся в субъекте сертификата: проверенный домен (DV), проверенная организация (OV) и расширенная проверка (EV). Еще одно различие, которое можно сделать, — это количество доменов, защищенных сертификатом: один домен, подстановочный знак , несколько доменов . Сертификаты расширенной проверки имеют отдельный набор политик выдачи, требующий повышенного уровня проверки личности подписчика сертификата, как предписано CA/Browser Forum, поэтому они имеют самый высокий уровень проверки подлинности среди всех сертификатов TLS на рынке. «Требования к сертификату EV TLS» . КАБФ . 31 августа 2013 г. Сертификат EV отличался в браузере наличием зеленой адресной строки, зеленого текста и наличием официального названия компании в URL-адресе в зависимости от того, какой браузер использовался. Исследование, проведенное Google и Калифорнийским университетом в Беркли. ^{[ 2 ]} выявили, что пользователи существенно не меняли поведение в зависимости от наличия или отсутствия этих индикаторов. Результаты этого исследования побудили Google, которая занимала значительную долю рынка браузеров, ^{[ 3 ]} прекратить дифференциацию между различными типами сертификатов. В 2018 году ЕС обратился в CABF с просьбой сотрудничать в обновлении существующих требований к EV, чтобы включить дополнительную информацию о субъекте в сертификат EV. Google, а затем и другие браузеры, уже находились в процессе отказа от индикации EV и отговаривали ЕС от использования сертификатов EV. По состоянию на 2019 год большинство основных браузеров больше не имеют четких указаний на сертификаты EV . Большинство финансовых учреждений как в ЕС, так и в США продолжают использовать сертификаты EV. ^{[ нужна ссылка ]}

Из-за нежелания браузеров изменять существующие требования к EV для размещения новой идентификационной информации eIDAS, регуляторы eIDAS начали вводить новую параллельную структуру безопасности, основанную на государственной сертификации поставщиков доверенных услуг (TSP). с участием многих заинтересованных сторон Это будет существовать наряду с существующей системой центров сертификации (CA) . Параллельная структура безопасности вызывает беспокойство у заинтересованных сторон отрасли, которые выявили риски в этом подходе, в основном связанные с управлением CA по поручению правительства, и выразили обеспокоенность тем, что реализация подорвет конфиденциальность отдельных лиц в сети. ^{[ 4 ]}^{[ 5 ]}

Регламент eIDAS

В Регламенте eIDAS трастовые услуги определяются как электронные услуги, обычно предоставляемые TSP, которые состоят из электронных подписей, электронных печатей, электронных отметок времени, услуг электронной зарегистрированной доставки и аутентификации веб-сайтов. ^{[ 6 ]}^{[ 7 ]}

По сути, Регламент eIDAS обеспечивает основу для продвижения: ^{[ 8 ]}

Прозрачность и подотчетность: четко определенные минимальные обязательства и ответственность TSP.
Гарантия надежности услуг вместе с требованиями безопасности для TSP.
Технологическая нейтральность: отказ от требований, которым может соответствовать только конкретная технология.
Рыночные правила и определенность стандартизации.

Содержание

Сертификаты аутентификации веб-сайта являются одной из пяти доверенных служб, определенных в Регламенте eIDAS. Статья 45 устанавливает требование к поставщикам доверенных услуг, выдающих квалифицированные сертификаты аутентификации веб-сайтов, подтверждающие их квалификацию, что означает, что все требования к квалифицированным поставщикам доверенных услуг будут применимы (QTSP), описанные в предыдущем разделе. Приложение IV определяет содержание квалифицированных сертификатов для аутентификации веб-сайта: ^{[ 7 ]}

Указание на то, что сертификат выдан как квалифицированный сертификат для аутентификации веб-сайта.
Набор данных, однозначно представляющих квалифицированного поставщика доверенных услуг, выдающего квалифицированные сертификаты, включая государство-член , в котором этот поставщик учрежден, и адекватно ситуации.
1. для юридического лица: название и, если применимо, регистрационный номер, указанные в официальных отчетах,
2. для физического лица: имя человека.
Для физических лиц: как минимум имя лица, которому выдано свидетельство, или псевдоним. Если используется псевдоним, он должен быть четко указан. Для юридических лиц: как минимум название юридического лица, которому выдано свидетельство, и, если применимо, регистрационный номер, указанный в официальных отчетах.
Элементы адреса, включая, по крайней мере, город и штат физического или юридического лица, которому выдан сертификат, и, где это применимо, как указано в официальных отчетах.
Доменные имена, которыми управляет физическое или юридическое лицо, которому выдан сертификат.
Срок действия сертификата.
Идентификационный код сертификата, который должен быть уникальным для квалифицированного поставщика службы доверия.
Усовершенствованная электронная подпись или расширенная электронная печать выдающего квалифицированного поставщика трастовых услуг.
Место, где сертификат, поддерживающий усовершенствованную электронную подпись или усовершенствованную электронную печать, упомянутую в пункте 8, доступен бесплатно.
Расположение служб статуса действительности сертификата, которые можно использовать для запроса статуса действительности квалифицированного сертификата.

Критика

Обновления eIDAS, предложенные в 2021 году, требуют, чтобы браузеры предоставляли новые формы обеспечения подлинности веб-сайтов, не указывая, как именно. Они требуют, чтобы веб-браузеры, такие как Chrome , Safari и Firefox, включали список установленных правительством «Надежных поставщиков услуг», а также принимали и «отображали в удобной для пользователя форме» QWAC, которые выдают эти TSP, несмотря на различное доверие. юридические, технические вопросы и вопросы безопасности. ^{[ 5 ]}^{[ 4 ]} Internet Society и Mozilla заявляют, что требования регламента требуют нарушения других требований. Они также утверждают, что это подорвет техническую нейтральность и функциональную совместимость, подорвет конфиденциальность конечных пользователей и создаст опасные угрозы безопасности. ^{[ 9 ]} Вместо этого они предлагают продолжать развивать существующую структуру CA.

Ссылки

^ «Квалифицированные сертификаты аутентификации веб-сайта» . ЭНИСА . 16 мая 2016 г. Архивировано из оригинала 7 марта 2022 г. Проверено 06 марта 2022 г.
^ Фелт, Эдриенн Портер ; Ридер, Роберт В.; Эйнсли, Алекс; Харрис, Хелен; Уокер, Макс; Томпсон, Крис; Асер, Мустафа; Морант, Элизабет; Консолво, Санни (2016). «Переосмысление показателей безопасности соединения» . СУПЫ . Архивировано из оригинала 01 марта 2022 г. Проверено 28 апреля 2022 г.
^ «W3Counter: Глобальная веб-статистика – январь 2018 г.» . www.w3counter.com . Архивировано из оригинала 5 ноября 2021 г. Проверено 28 апреля 2022 г.
^ Jump up to: ^а ^б «Эксперты призывают ЕС не вводить небезопасные сертификаты в веб-браузеры» . Мигающий компьютер . Архивировано из оригинала 06 марта 2022 г. Проверено 06 марта 2022 г.
^ Jump up to: ^а ^б «Краткий обзор влияния Интернета: обязательные корневые сертификаты браузера в Регламенте eIDAS Европейского Союза в Интернете» . Интернет-сообщество . 08.11.2021. Архивировано из оригинала 06 марта 2022 г. Проверено 06 марта 2022 г.
^ Тернер, Дон. «Понимание eIDAS» . Криптоматика. Архивировано из оригинала 20 апреля 2016 года . Проверено 12 апреля 2016 г.
^ Jump up to: ^а ^б «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . Европейский Парламент и Совет Европейского Союза. Архивировано из оригинала 15 января 2018 года . Проверено 18 марта 2016 г.
^ Тернер, Дон М. «Поставщики трастовых услуг в соответствии с eIDAS» . Криптоматика. Архивировано из оригинала 6 октября 2017 года . Проверено 17 октября 2017 г.
^ Мозилла (01.10.2020). «Открытая публичная консультация Европейской комиссии по eIDAS – Приложение к ответу Mozilla на опрос» (PDF) . Архивировано (PDF) из оригинала 06 марта 2022 г. Проверено 06 марта 2022 г.

[1] «Квалифицированные сертификаты аутентификации веб-сайта» . ЭНИСА . 16 мая 2016 г. Архивировано из оригинала 7 марта 2022 г. Проверено 06 марта 2022 г.

[2] Фелт, Эдриенн Портер ; Ридер, Роберт В.; Эйнсли, Алекс; Харрис, Хелен; Уокер, Макс; Томпсон, Крис; Асер, Мустафа; Морант, Элизабет; Консолво, Санни (2016). «Переосмысление показателей безопасности соединения» . СУПЫ . Архивировано из оригинала 01 марта 2022 г. Проверено 28 апреля 2022 г.

[3] «W3Counter: Глобальная веб-статистика – январь 2018 г.» . www.w3counter.com . Архивировано из оригинала 5 ноября 2021 г. Проверено 28 апреля 2022 г.

[:0-4] Jump up to: ^а ^б «Эксперты призывают ЕС не вводить небезопасные сертификаты в веб-браузеры» . Мигающий компьютер . Архивировано из оригинала 06 марта 2022 г. Проверено 06 марта 2022 г.

[:1-5] Jump up to: ^а ^б «Краткий обзор влияния Интернета: обязательные корневые сертификаты браузера в Регламенте eIDAS Европейского Союза в Интернете» . Интернет-сообщество . 08.11.2021. Архивировано из оригинала 06 марта 2022 г. Проверено 06 марта 2022 г.

[Tuner_Understanding_eIDAS-6] Тернер, Дон. «Понимание eIDAS» . Криптоматика. Архивировано из оригинала 20 апреля 2016 года . Проверено 12 апреля 2016 г.

[eIDAS-EUR-Lex-7] Jump up to: ^а ^б «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC» . ЭУР-Лекс . Европейский Парламент и Совет Европейского Союза. Архивировано из оригинала 15 января 2018 года . Проверено 18 марта 2016 г.

[eIDAS-TrustServiceProviders-8] Тернер, Дон М. «Поставщики трастовых услуг в соответствии с eIDAS» . Криптоматика. Архивировано из оригинала 6 октября 2017 года . Проверено 17 октября 2017 г.

[9] Мозилла (01.10.2020). «Открытая публичная консультация Европейской комиссии по eIDAS – Приложение к ответу Mozilla на опрос» (PDF) . Архивировано (PDF) из оригинала 06 марта 2022 г. Проверено 06 марта 2022 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]