Các nhà lãnh đạo ngành đã quyết định ngừng triển khai các yêu cầu lưu trữ khóa an toàn mới cho chứng chỉ ký mã xác thực tổ chức (OV) cho đến ngày 1 tháng 6 năm 2023.
1. Bản tóm tắt nhanh về các thay đổi được đề xuất đối với lưu trữ khóa chứng chỉ ký mã OV
Diễn đàn CA / B về việc cấp và lưu trữ chứng chỉ ký mã OV trước khi bắt đầu những thay đổi về thời điểm nó được triển khai.
- Các yêu cầu mới của Diễn đàn CA / B ảnh hưởng đến chứng chỉ ký mã IV và OV mới / được cấp lại. Các thay đổi được liệt kê trong Yêu cầu cơ bản về ký mã (CSBR) của Diễn đàn CA / B phiên bản 3.1 chỉ định cách tạo, lưu trữ, cài đặt, gia hạn và cấp lại các khóa riêng tương ứng cho chứng chỉ ký mã xác thực cá nhân (IV) và xác thực tổ chức (OV) .
- Yêu cầu ký chứng chỉ (CSR) cho chứng chỉ ký mã đi theo cách của chim Dodo (đối với hầu hết người dùng). Thay vì bạn tạo và gửi biểu mẫu yêu cầu ký chứng chỉ (CSR) cho mỗi chứng chỉ, CA phát hành của bạn thường sẽ xử lý chứng chỉ và quy trình tạo khóa ở phía cuối của chúng. Điều này tương tự như quy trình đối với chứng chỉ ký mã xác thực mở rộng (EV) .
- (Các) mô-đun mật mã (phần cứng) bạn sử dụng phải đáp ứng các tiêu chuẩn bảo mật cụ thể. Không chỉ bất kỳ phần cứng an toàn nào sẽ hoạt động. Bạn phải sử dụng tối thiểu các mô-đun mật mã phần cứng an toàn tuân thủ FIPS 140 Cấp 2 / EAL 4+ hoặc các dịch vụ ký để lưu trữ các khóa riêng nhạy cảm của chứng chỉ ký mã của bạn.
2. Tại sao những thay đổi này được đẩy lùi cho đến ngày 1 tháng 6 năm 2023
Trong một cuộc thảo luận về danh sách gửi thư công khai trên Diễn đàn CA / B , Ian McMillan, Giám đốc sản phẩm chính tại Microsoft, giải thích rằng thời hạn cho những thay đổi được đề xuất là “quá chặt chẽ” đối với người đăng ký cũng như CA và ông đã nhận được rất nhiều email bày tỏ lo ngại về mốc thời gian ngày 15 tháng 11 năm 2022. Mặc dù có một thời hạn quyết liệt là rất tốt, nhưng vấn đề là các yêu cầu sẽ khó thực hiện một cách hiệu quả trong thời gian ngắn như vậy.
Một phần, McMillan cho biết có những lo ngại liên quan đến những thách thức chuỗi cung ứng toàn cầu đang diễn ra và chi phí gia tăng. Những yếu tố này gây khó khăn cho việc nhận các mã thông báo bảo mật phần cứng cần thiết hàng loạt , đặc biệt khi bạn xem xét rằng Keyfactor báo cáo rằng các tổ chức có trung bình 25 chứng chỉ ký mã , nhưng chỉ một nửa (51%) lưu trữ chúng trong các mô-đun bảo mật phần cứng (HSM) .
Không có gì đáng ngạc nhiên, đại diện từ một số CA – DigiCert, Sectigo và Entrust – đã đồng ý rằng việc trì hoãn thay đổi sẽ tốt cho CA cũng như người dùng chứng chỉ. Vì ký mã là một phần không thể thiếu của quá trình phát triển phần mềm, người dùng chứng chỉ có nhiều hệ thống và quy trình khác nhau cần được hỗ trợ và / hoặc cập nhật. Điều này giúp họ có thời gian để hoàn thiện quy trình của mình và lấy vịt của họ liên tiếp.
Dưới đây là một cái nhìn nhanh về kết quả biểu quyết lá phiếu đã được đăng trên danh sách thảo luận công khai CSCWG của Diễn đàn CA / B:
