Лондонский протокол: новая инициатива по борьбе с фишингом



Совет безопасности центров сертификации (The Certificate Authority Security Council (CASC)) на мероприятии CA/Browser Forum в Лондоне объявил о запуске новой инициативы, которая получила название Лондонского протокола. Данная инициатива преследует следующие цели:
  • более надежное подтверждение идентифицирующих сведений;
  • минимизация фишинга для сайтов с OV и EV-сертификатами.
Учитывая недавний рост фишинговых атак, Лондонский протокол предлагает усилить различие между сайтами с DV-сертификатами и сайтами с OV- и EV-сертификатами.

Реализация инициативы будет осуществляться на добровольных началах с привлечением удостоверяющих центров, которые будут выполнять следующие задачи:
  • Активно отслеживать фишинговые отчеты для сайтов с OV- и EV-сертификатами, выпущенными этим удостоверяющим центром.
  • Уведомлять пострадавшего владельца сайта о том, что был обнаружен фишинговый контент, и предлагать инструкции по устранению проблемы наряду с мерами защиты.
  • Пополнять общую базу данных для сокращения объемов фишингового контента. Эти данные будут доступны другим удостоверяющим центрам, чтобы все они могли провести дополнительное исследование перед выпуском OV- и EV-сертификатов.
  • Разрабатывать систему коллизий имен, чтобы предотвратить вектор угроз Stripe.
Для выпуска DV-сертификатов удостоверяющим центрам не требуется проверять данные организации.

Многие DV-сертификаты выпускаются анонимно без каких-либо контактных сведений, что облегчает их использование в целях фишинга.

Для выпуска OV-и EV-сертификатов удостоверяющие центры должны проверить информацию по организации, что производится разными способами. Чтобы улучшить безопасность в интернете и осведомленность о OV- и EV-сертификатах, удостоверяющие центры в рамках Лондонского протокола будут взаимодействовать между собой для обеспечения безопасности подтверждения идентифицирующих данных и минимизации фишинга для сайтов с OV- и EV-сертификатами.

Реализация Лондонского протокола будет происходить поэтапно:
  • Июнь-август 2018. Удостоверяющие центры прорабатывают инициативу и начинают исполнять некоторые базовые процедуры.
  • Сентябрь-ноябрь 2018. Удостоверяющие центры применяют концепции протокола к сайтам клиентов с OV- и EV-сертификатами, опираясь на свои собственные политики и процедуры, обмениваются обратной связью с другими удостоверяющими центрами, уточняют протокол на базе полученного опыта.
  • Декабрь 2018 – февраль 2019. Удостоверяющие центры обновляют политики и процедуры протокола, утверждают план по унификации политик и процедур, которые должны применяться удостоверяющими центрами на добровольной основе.
  • Март 2019. Удостоверяющие центры готовят отчет и свои рекомендации для CA/Browser Forum по возможным изменениям в Baseline Requirements (базовые требования).

Лондонский протокол – это попытка вернуться к тому, ради чего создавались EV- и OV-сертификаты – для обеспечения доверия пользователей и безопасности передаваемых данных.

Подписывайтесь на наши обновления, чтобы всегда быть в курсе событий в сфере SSL и онлайн-безопасности!