Aus Tokio mit Vertrauen: Sectigos Perspektive auf das CA/B Forum März 2025
Sectigo war beim CA/Browser Forum in Tokio dabei, um über zentrale Themen wie kürzere Zertifikatslaufzeiten, Open MPIC und rechtliche Herausforderungen für CAs zu sprechen.
Inhaltsverzeichnis
Unsere Sectigo-Teammitglieder reisten nach Tokio, Japan, zum Face-to-Face-Treffen des CA/Browser-Forums im März, um die neuesten Updates mit anderen Führungskräften der Branche zu besprechen.
Einführung
Alle paar Monate versammeln sich die einflussreichsten Zertifizierungsstellen, Browserhersteller und Branchenexperten der Welt unter dem Banner des CA/Browser-Forums, um die Zukunft des digitalen Vertrauens zu gestalten. Im März 2025 traf sich das Forum persönlich in Tokio, und Sectigo war stolz darauf, dabei zu sein. Tim Callan, stellvertretender Vorsitzender von CA/Browser und Chief Compliance Officer von Sectigo, Martijn Katerbarg, Vorsitzender der Arbeitsgruppe Code Signing, Brian Holland, General Counsel von Sectigo, und Dmitry Sharkov, Principal Architect von Sectigo, hatten alle die Gelegenheit, auf dem Treffen Themen vorzustellen.
Das CA/Browser-Forum spielt eine entscheidende Rolle bei der Festlegung von Standards, die die Sicherheit des Internets gewährleisten, von TLS und S/MIME bis hin zu Code Signing und neuen Technologien. Diese Treffen sind mehr als nur prozedurale Check-ins; sie sind entscheidende Gelegenheiten für Zusammenarbeit, Innovation und Fortschritt. Das persönliche Treffen in Tokio ermöglichte einen tieferen technischen Dialog, einen reicheren Ideenaustausch und neue Energie im gesamten Ökosystem.
Wichtige Themen auf der Tagesordnung
Von dringenden Aktualisierungen der Richtlinien bis hin zu zukunftsweisenden technischen Initiativen umfassten die Diskussionen eine Vielzahl von Themen, die sich gleichermaßen auf Zertifizierungsstellen (CA), Browser-Anbieter und vertrauende Parteien auswirken. Im Folgenden werden einige der Themen vorgestellt, die das Gespräch in Tokio geprägt haben. Jedes einzelne hebt hervor, wohin sich die Branche bewegt und welche entscheidende Arbeit geleistet wird, um aufkommende Bedrohungen zu antizipieren, Abläufe zu optimieren und das Vertrauen im Internet zu stärken.
1. Der SC-081-Wahlgang – auch bekannt als der 47-Tage-Wahlgang
Auf der Sitzung des CA/Browser-Forums im März 2025 war einer der Tagesordnungspunkte der Wahlgang SC-081 – allgemein bekannt als der 47-Tage-Wahlgang, der eine Verkürzung der Gültigkeitsdauer von SSL/TLS-Zertifikaten auf 47 Tage im Laufe der nächsten 4 Jahre vorschlägt. Obwohl während der Sitzung keine größeren Aktualisierungen oder Beschlüsse gefasst wurden, erregte das Thema weiterhin die Aufmerksamkeit der Forumsteilnehmer.
Am 11. April wurde dieser Antrag angenommen. Dies ist der jüngste Schritt in Richtung einer kürzeren Lebensdauer von Zertifikaten und steht im Einklang mit dem allgemeinen Branchentrend, die Sicherheit zu erhöhen und die mit langlebigen Zertifikaten verbundenen Risiken zu reduzieren.
2. Open MPIC-Projekt
Ein weiteres wichtiges Gesprächsthema beim Face-to-Face-Treffen war Open MPIC, eine Open-Source-Initiative, die Zertifizierungsstellen (CAs) dabei unterstützen soll, DNS-basierte Angriffe während der Domainvalidierung zu minimieren. Open MPIC (Multi-Perspective Issuance Correlation) bietet eine Open-Source-Lösung für Zertifizierungsstellen, die MPIC testen und implementieren möchten, und stellt ein Framework bereit, mit dem Zertifizierungsstellen DNS-Einträge aus mehreren globalen Blickwinkeln überprüfen können. Dadurch wird das Risiko von lokalisierten DNS-Spoofing- oder Cache-Poisoning-Angriffen verringert, die andernfalls zu einer fehlerhaften Ausstellung von Zertifikaten führen könnten. Durch die Korrelation von DNS-Antworten verschiedener Resolver stärkt Open MPIC die Integrität des Validierungsprozesses und bietet Zertifizierungsstellen eine skalierbare, datenschutzfreundliche Möglichkeit, das Vertrauen und die Sicherheit im Ökosystem der Public-Key-Infrastruktur zu verbessern.
Dmitry Sharkov, leitender Architekt von Open MPIC und Sectigo-Hauptarchitekt, stellte Open MPIC dem Forum vor. Seit dem 15. März verlangt das CA/Browser Forum für die Ausstellung öffentlich vertrauenswürdiger Web-PKI-Zertifikate den reinen Überwachungsmodus von MPIC, und ab dem 15. September 2025 müssen Zertifizierungsstellen die Ausstellung aufgrund fehlgeschlagener MPIC-Prüfergebnisse einstellen. Open MPIC ermöglicht die Zusammenarbeit von Experten und Zertifizierungsstellen, um globale Risiken zu mindern und die Sicherheit von Webbrowsern zu verbessern.
3. Vorläufige Verfügungen
Brian Holland hielt auch einen Vortrag über den Einsatz von einstweiligen Verfügungen und deren Auswirkungen auf Zertifizierungsstellen. Im Jahr 2024 hinderte ein Abonnent eines Zertifikats eine Zertifizierungsstelle durch eine gerichtlich angeordnete einstweilige Verfügung daran, ein von den Baseline Requirements (BR) vorgeschriebenes Widerrufsverfahren durchzuführen, was Bedenken darüber aufkommen ließ, wie rechtliche Schritte die Einhaltung von Industriestandards stören können.
Dieser Vorfall machte eine potenzielle Schwachstelle deutlich, bei der gerichtliche Eingriffe – außerhalb der Aufsicht technischer Gemeinschaften – kritische Sicherheitsprozesse behindern können. Dies gab den Anstoß für eine Initiative des CA/Browser-Forums, um zu untersuchen, wie die Branche kritische Sicherheits- und Compliance-Kontrollen vor unzulässigen rechtlichen Eingriffen schützen kann und welche Präventivmaßnahmen zur Verfügung stehen. Das CA/Browser-Forum untersucht, wie es Zertifizierungsstellen bei der Bewältigung solcher rechtlicher Herausforderungen unterstützen kann, und ermutigt gleichzeitig einzelne Zertifizierungsstellen, interne Protokolle und rechtliche Bereitschaftspläne zu erstellen, um die Einhaltung vorgeschriebener Regeln zu gewährleisten.
Abschließende Überlegungen
Das CA/B-Forum Face to Face im März 2025 war eine Erinnerung an die Kraft der Zusammenarbeit im Bereich Cybersicherheit. Während das Internet auf Code, Infrastruktur und kryptografischen Protokollen basiert, ist Vertrauen letztlich eine menschliche Angelegenheit. Die Tatsache, dass man sich im selben Raum befindet, um Wissen auszutauschen, Annahmen in Frage zu stellen und einen Konsens zu erzielen, ist es, was diese Standards funktionieren lässt.
Für Sectigo hat diese Reise nach Japan unser Engagement für eine Führungsrolle in diesem Bereich gestärkt. Wir befolgen nicht nur Standards, sondern gestalten sie mit. Wir sind unseren Kollegen im CA/Browser-Forum dankbar und freuen uns auf weitere Fortschritte beim nächsten Treffen.
Bis dahin geht es zurück an die Arbeit, um digitale Vertrauenslösungen zu liefern, die den sich wandelnden Bedürfnissen der Welt gerecht werden.