אלכסנדר אנטיפוב
10:29 / 23 באוקטובר 2024
Alliance CA/פורום דפדפן דרישות מעודכנות לרשויות אישורים (CA) ולתהליכי ביקורת, והציג כללים להנפקת אישורים עבור דומיינים .onion. השינויים מכוונים להגברת השליטה, השקיפות והאבטחה של תשתית המפתח הציבורי (PKI).
חובות וביקורת של רשויות הסמכה
על פי הדרישות החדשות, כל CA נדרש:
- לעמוד בדרישות הנוכחיות ולעבור את הביקורת בתוך מסגרת הזמן שצוינה.
- השג רישיון בכל אזור שיפוט כאשר הדבר נדרש על פי חוק.
- ודא עמידה במדיניות ההסמכה (CP) והצהרת נוהלי ההסמכה (CPS).
אם ה-CA מנפיקה תעודות שניתן להשתמש בהן להנפקת תעודות חדשות, עליהן להיות מוגבלות מבחינה טכנית (לפי סעיפים 7.1.2.3 עד 7.1.2.5 לדרישות) או לעבור ביקורת מלאה. כל תקופת הנפקת תעודה חייבת להיות מלווה בביקורת, המתבצעת לפחות אחת לשנה. אם אין דו"ח ביקורת עדכני, יש לערוך הערכת מוכנות לפני מתן אישורים.
ביקורת וכישורי רואי חשבון
הביקורת חייבת להתבצע על ידי מבקר מוסמך בעל הכישורים הבאים:
- עצמאות מהאובייקט המבוקר.
- מיומנות בניתוח PKI, אבטחת מידע ותקני הסמכה.
- WebTrust מורשה או ETSI מוסמך לפי ISO 17065.
- הקפידו על ביטוח אחריות מקצועית במגבלה של מיליון דולר לפחות.
ה-CA רשאית לבחור באחד מהסדרי הביקורת הבאים:
- WebTrust
(לדוגמה, גרסה 2.7 ואילך). - ETSI
(למשל EN 319 411-1). - תוכנית ביקורת פנימיתאם הוא עומד בדרישות או דומה לתקנים המקובלים.
דוח הביקורת חייב לכלול פרטים מלאים של הארגון, רשויות האישורים, האישורים בהם נעשה שימוש וקריטריונים שיושמו. יש לפרסם אותו תוך שלושה חודשים מתום תקופת הביקורת. אם הדוח מתעכב, ה-CA נדרש לפרסם מכתב הסבר בחתימת המבקר.
CA נדרשים לערוך ביקורת עצמית לפחות אחת לרבעון, תוך בחינת מדגם אקראי של תעודות. מ-15 במרץ 2025, יש לאמת דגימות כאלה באמצעות תהליך מוך כדי להעריך את הדיוק הטכני של התעודות. בדיקות דומות חלות על נציגי צד שלישי, שגם הם נדרשים לעבור ביקורת שנתית.
אישורים לדומיינים .onion
דרישות חדשות מחייבות אישורים עבור דומיינים .onion כדי לעמוד בהנחיות מחמירות. הדומיין חייב להכיל שתי רמות: "בצל" וכתובת גרסה 3 ייחודית לפי מפרט Tor.
אישורי אישורים נדרשים לאמת בעלות על דומיין .onion באמצעות השיטות הבאות:
- שינויים מוסכמים בדף האינטרנט (סעיפים 3.2.2.4.18 ו-3.2.2.4.19).
- שימוש ב-TLS מעל ALPN (סעיף 3.2.2.4.20).
כל החיבורים חייבים להתבצע ישירות דרך פרוטוקול Tor, מבלי להשתמש בשירותי צד שלישי כמו Tor2Web. אפשרות אימות נוספת היא לחתום על בקשת האישור עם המפתח הפרטי של השירות הנסתר, אשר מאושר על ידי ערכי nonce מיוחדים עם אנטרופיה גבוהה.
רשות אישורים אינם מורשים להנפיק אישורי תווים כלליים עבור דומיינים עם הסיומת .onion, אלא אם כן הרשאה ספציפית לפי מדיניות. עוד מדגיש CA כי תעודות עבור דומיינים .onion לא ייחשבו כשמות פנימיים כל עוד הם עומדים בדרישות החדשות. שינוי זה נועד להגביר את האמון ולשפר את האבטחה במערכת האקולוגית של Tor.
התחייבויות משפטיות וכספיות
ה-CA אחראית הבלעדית לביצוע תפקידיה ולעמידה בכל הדרישות, לרבות התחייבויותיהם של גורמים מואצלים. במקרה של הפרות, אישורי אישורים נדרשים לפצות הפסדים למשתמשים ולספקי אפליקציות.
כל CA חייב להודיע ל-CA/פורום דפדפן על כל שינוי במדיניות ההסמכה ולהבטיח ציות לחוק בכל תחומי השיפוט שבהם הם פועלים. במידת הצורך, שינויים בדרישות צריכים להיות מינימליים וזמניים עד לפתרון ההתנגשות עם החוק המקומי.
עדכון דרישות ותאימות לתקנות
CA נדרשים לציית לחוקים המקומיים בכל מחוז שיפוט שבו הם פועלים. במקרה של סתירה בין החוק המקומי לדרישות CA/פורום דפדפן, CA עשויה לבצע שינויים מינימליים במדיניות עד לפתרון הפערים.
את השינויים במדיניות יש לרשום במסמכים ציבוריים ולהגיש לפורום CA/דפדפן לאישור. כאשר החוקים או התקנות משתנים, רשויות הרשות נדרשות לעדכן את המדיניות שלהן תוך 90 יום.
השינויים נועדו לשפר את האבטחה והשקיפות של תשתית המפתח הציבורי ולהבטיח אמון ברשויות האישורים, במיוחד בהקשר של הנפקת אישורים לדומיינים .onion.
המדענים הוכיחו שקריאת הערוץ שלנו מאריכה חיים!
בסדר, הם לא הוכיחו עדיין 😊 אבל אנחנו עובדים על זה, קחו חלק בניסוי – הירשמו ,והישארו מעודכנים!
