CA / Browser Forum: Установка глобальних стандартів для сертифікатів захищеної електронної пошти
Створена в серпні 2020 року робоча група по сертифікатам S / MIME (SMCWG) - це новітня s'mime спеціалізована підгрупа форуму CA / Browser, сфокусована на створення перших глобальних вимог для центрів сертифікації (CA), які видають цифрові сертифікати, які використовуються в електронній пошті. SMCWG представляють основні центри сертифікації з усього світу, споживачів сертифікатів (включаючи важливих постачальників програмного забезпечення електронної пошти і хмарних сервісів, включаючи корпоративні шлюзи електронної пошти), органи щодо дотримання вимог, такі як WebTrust і European Accredited Conformity Assessment, органи Ради і галузеві експерти.
Навіщо нам потрібен глобальний базовий план S / MIME?
Частково проблема, з якою стикається SMCWG, полягає в тому, що сертифікати S / MIME можуть бути розгорнуті різними способами, які відрізняються від інших типів сертифікатів, таких як сертифікати TLS / SSL. Наприклад, ключі можуть створюватися і зберігатися користувачем локально в програмному забезпеченні, на мобільному пристрої або на криптографическом токені. Також вони можуть зберігатися в хмарі в поштовій службі, корпоративної системи управління ключами або на поштовому шлюзі. Іноді S / MIME є додатковою можливістю для сертифікатів, які використовуються для аутентифікації або підпису. А через вимоги до зберігання даних деякі галузі прагнуть депонувати закриті ключі, які використовуються для шифрування, на випадок, якщо електронні листи можуть зажадати архівної обробки.
SMCWG покликана створити перший глобальний базовий стандарт для сертифікатів S / MIME, який об'єднує існуючі технічні стандарти, а також передовий досвід поточних галузевих вимог, включаючи стандарти Mozilla, Gmail, Федеральної PKI США і ETSI. Незважаючи на те, що вони націлені на сертифікати, які користуються загальною довірою, підсумкові базові вимоги S / MIME будуть однаково цікаві для розгортання S / MIME, що користуються приватним довірою, наприклад для підприємств, які прагнуть встановити взаємодію з іншими групами. У той же час більшість існуючих стандартів для сертифікатів S / MIME специфічні для галузі, платформи або програми державного сектора. В результаті історично більшість програмних додатків електронної пошти допускали обробку сертифікатів, дозволяючи функцій S / MIME працювати до тих пір, поки в їх криптографії не було недоліків, які порушують умови угоди.
SMCWG розробила план роботи з метою спочатку створити базові профілі сертифікатів для видачі авторизації та кінцевих сертифікатів. У своїй первісній версії це було б зосереджено на документуванні основних вимог і передових практик, які використовуються в даний час, щоб якомога швидше просунути корисний стандарт. У майбутніх версіях основна увага буде приділена підвищенню планки, наприклад, шляхом визначення аспектів сертифіката, які можуть допомогти довіряє сторонам в оцінці ризику сертифіката. Крім того, базові вимоги S / MIME будуть визначати основні процеси, що дозволяють центрам сертифікації перевіряти контроль над адресами електронної пошти, або для окремого поштової скриньки, або для підприємства, контролюючого всі поштові скриньки в домені. Базові вимоги S / MIME також будуть охоплювати знайому основу, що міститься в базових вимогах CA / B Forum по таким темам, як управління ключами, життєвий цикл сертифікатів і методи роботи CA, включаючи фізичну / логічну безпеку. SMCWG розгляне питання про підтвердження особи фізичних та юридичних осіб пізніше в своєму процесі. Частково це дозволить групі зібрати інформацію про використовувані поля SubjectDN і їх обгрунтування, оскільки немає прозорості сертифіката, щоб забезпечити таке розуміння.