Czerwcowe spotkanie CA/B Forum

W dniach 6-8 czerwca 2022 w Warszawie, Asseco Data Systems miało przyjemność zorganizować pierwsze po pandemii europejskie spotkanie CA and Browser Forum (CA/B Forum). Około 30 przedstawicieli przeglądarek i centrów certyfikacji z całego świata uczestniczyło w dyskusji na temat aktualnych tematów, nad którymi pracuje Forum. Spotkanie odbyło się w formie hybrydowej, część członków forum uczestniczyła w nim zdalnie.

CA and Browser Forum to działająca na zasadzie dobrowolności od 2005 roku grupa Centrów Certyfikacji (Certification Authorities – CA) dostawców oprogramowania przeglądarek internetowych oraz innych aplikacji, które korzystają z certyfikatów typu S/MIME, Code Signing oraz SSL. Forum zajmuje się, tworzeniem standardów dla wydawania wyżej wymienionych certyfikatów, współpracą pomiędzy centrami certyfikacji a dostawcami oprogramowania, a także wspiera tworzenie wymogów audytowych.

Przedstawiciele przeglądarek zapowiedzieli zmiany w politykach, m.in. wprowadzenie obowiązkowych cyklicznych samoocen dla Centrów Certyfikacji, które będą przekazywane do przeglądarek oraz zmianę w polityce dotyczącej znaczników SCT. Przypomniano także o istniejących wymaganiach względem Centrów Certyfikacji szczególnie w związku z incydentami bezpieczeństwa dotyczącymi błędnego wydania certyfikatów. W odniesieniu do celów długoterminowych podkreślono rolę automatyzacji w procesie wymiany certyfikatów SSL oraz konieczność dalszego skracania okresu ważności tych certyfikatów w celu zapewnienia coraz większego poziomu bezpieczeństwa. Najwięcej emocji wzbudził jednak temat dotyczący tworzącego się obecnie dokumentu z wymaganiami dla certyfikatów typu S/MIME. Szczególnie interesująca dyskusja odbyła się przy okazji omawiania wymagalności pól dla tych certyfikatów, ze względu na różnice w podejściu do sposobu rejestracji firm w różnych krajach, weryfikacja adresów organizacji, których dane znajdują się w certyfikatach może nastręczać problemy. Prace nad nowym dokumentem zmierzają ku końcowi i już wkrótce wszystkie Centra Certyfikacji będą musiały się stosować do nowych wymagań, które staną się obowiązujące dla nich wszystkich.

Duży fragment spotkania został poświęcony aktualizacjom na temat audytów ETSI oraz WebTrust. Podkreślono, że pomimo zdjęcia w wielu krajach obostrzeń covidowych, nadal w niektórych przypadkach procedury audytowe mogą być zmienione ze względu na aktualną sytuację epidemiczną. Spotkanie face to face to także czas na podsumowanie prac grup roboczych Forum od ostatniego spotkania. Widać, że wszystkie grupy działają prężnie nad wprowadzeniem zmian, które poprawiają jakość usług świadczonych przez CA.

Bardzo cieszymy się, że mogliśmy po raz pierwszy zorganizować spotkanie CA/B Forum i to w takich wyjątkowych popandemicznych okolicznościach. Nasi goście mieli także okazję poznać Warszawę, skosztować polskiej kuchni, a także wziąć udział w Trusted Economy Forum, które odbyło się w tym samym czasie.