Da Tokyo con fiducia: il punto di vista di Sectigo sul CA/B Forum marzo 2025
Sectigo ha partecipato al CA/Browser Forum di Tokyo per discutere i cambiamenti cruciali nella sicurezza digitale: durata certificati, Open MPIC e gestione legale.
Indice
I membri del nostro team Sectigo si sono recati a Tokyo, in Giappone, per l'incontro faccia a faccia di marzo del CA/Browser Forum per discutere gli ultimi aggiornamenti con altri leader del settore.
Introduzione
Ogni pochi mesi, le autorità di certificazione, i produttori di browser e gli esperti del settore più influenti al mondo si riuniscono sotto la bandiera del CA/Browser Forum per plasmare il futuro della fiducia digitale. Nel marzo 2025, il Forum si è incontrato faccia a faccia a Tokyo e Sectigo è stata orgogliosa di essere presente. Il vicepresidente di CA/Browser e Chief Compliance Officer di Sectigo Tim Callan, il presidente del Code Signing Working Group Martijn Katerbarg, il General Counsel di Sectigo Brian Holland e l'architetto principale di Sectigo Dmitry Sharkov hanno avuto tutti la possibilità di presentare argomenti durante l'incontro.
Il CA/Browser Forum svolge un ruolo fondamentale nella definizione degli standard che garantiscono la sicurezza di Internet, dal TLS e S/MIME alla firma del codice e alle tecnologie emergenti. Questi incontri sono più che semplici controlli procedurali; sono opportunità fondamentali per la collaborazione, l'innovazione e il progresso. L'incontro di persona a Tokyo ha permesso un dialogo tecnico più approfondito, scambi di idee più ricchi e un'energia rinnovata in tutto l'ecosistema.
Principali argomenti all'ordine del giorno
Dagli aggiornamenti urgenti delle politiche alle iniziative tecniche lungimiranti, le discussioni hanno abbracciato un'ampia gamma di argomenti che hanno un impatto sulle autorità di certificazione (CA), sui fornitori di browser e sulle parti interessate. Di seguito sono riportati alcuni degli argomenti che hanno caratterizzato la conversazione a Tokyo, ognuno dei quali evidenzia la direzione in cui si sta muovendo il settore e il lavoro fondamentale che viene svolto per anticipare le minacce emergenti, semplificare le operazioni e rafforzare la fiducia online.
1. Il Ballot SC-081 - Noto anche come il Ballot con durata di 47 giorni
Alla riunione del CA/Browser Forum di marzo 2025, uno dei punti all'ordine del giorno era il Ballot SC-081, comunemente noto come 47-day lifespan ballot, che propone di ridurre il periodo di validità dei certificati SSL/TLS a 47 giorni nel corso dei prossimi 4 anni. Sebbene durante la riunione non siano stati apportati aggiornamenti o risoluzioni importanti, l'argomento ha continuato a catturare l'attenzione dei partecipanti al Forum.
L'11 aprile la votazione è stata approvata. Questo è l'ultimo passo verso una minore durata dei certificati, in linea con le tendenze più generali del settore verso una maggiore sicurezza e una riduzione dei rischi associati ai certificati di lunga durata.
2. Progetto Open MPIC
Un'altra preziosa discussione del Face-to-Face ha riguardato Open MPIC, un'iniziativa open source progettata per aiutare le autorità di certificazione (CA) a mitigare gli attacchi basati sul DNS durante la convalida del dominio. Open MPIC (Multi-Perspective Issuance Correlation) fornisce una soluzione open source per le CA che cercano di testare e implementare MPIC e fornisce un framework che consente alle CA di verificare i record DNS da più punti di osservazione globali, riducendo il rischio di spoofing DNS localizzato o attacchi di cache poisoning che potrebbero altrimenti portare a un'emissione errata dei certificati. Correlando le risposte DNS da diversi resolver, Open MPIC rafforza l'integrità del processo di convalida, offrendo alle CA un modo scalabile e che preserva la privacy per aumentare la fiducia e migliorare la sicurezza nell'ecosistema dell'infrastruttura a chiave pubblica.
L'architetto capo di Open MPIC e architetto principale di Sectigo, Dmitry Sharkov, ha presentato Open MPIC al Forum. A partire dal 15 marzo, il CA/Browser Forum richiede la modalità di monitoraggio di MPIC per l'emissione di certificati PKI web di fiducia pubblica e, a partire dal 15 settembre 2025, le CA dovranno interrompere l'emissione in base ai risultati dei controlli MPIC non riusciti. Open MPIC consente la collaborazione di esperti e CA per mitigare i rischi globali e migliorare la sicurezza dei browser web.
3. Ordinanze restrittive temporanee
Brian Holland ha anche presentato un intervento sull'uso dei provvedimenti restrittivi temporanei (TRO) e le loro implicazioni per le CA. Nel 2024 un sottoscrittore di certificati ha impedito a una CA di eseguire un evento di revoca obbligatorio per i requisiti di base (BR) attraverso un TRO emesso dal tribunale, sollevando preoccupazioni su come le azioni legali possano interrompere la conformità agli standard del settore.
Questo incidente ha evidenziato una potenziale vulnerabilità in cui l'intervento giudiziario, al di fuori della supervisione delle comunità tecniche, può creare ostacoli a processi di sicurezza critici. Ciò ha dato il via a un'iniziativa del CA/Browser Forum per esaminare come l'industria possa proteggere i controlli critici di sicurezza e conformità contro interferenze legali improprie e quali misure preventive siano disponibili. Il CA/Browser Forum sta esplorando come supportare le CA nella gestione di tali sfide legali, incoraggiando al contempo le singole CA a stabilire protocolli interni e piani di preparazione legale per aiutare a preservare le regole imposte.
Riflessioni finali
Il CA/B Forum Face to Face di marzo 2025 è stato un promemoria del potere della collaborazione nella sicurezza informatica. Mentre Internet è costruito su codice, infrastrutture e protocolli crittografici, la fiducia è in definitiva uno sforzo umano. Stare insieme nella stessa stanza per condividere conoscenze, sfidare i presupposti e costruire il consenso è ciò che fa funzionare questi standard.
Per Sectigo, questo viaggio in Giappone ha rafforzato il nostro impegno a essere leader in questo settore. Non ci limitiamo a seguire gli standard, ma contribuiamo a definirli. Siamo grati ai nostri colleghi del CA/Browser Forum e non vediamo l'ora di continuare a progredire al prossimo incontro.
Fino ad allora, si torna al lavoro, fornendo soluzioni di fiducia digitale che soddisfino le esigenze in continua evoluzione del mondo.
Messaggi relativi:
Il futuro della sicurezza digitale: arrivano i cicli di vita dei certificati di 47 giorni
7 motivi per ridurre i periodi di validità dei certificati SSL