CA/Browser-Forum

Das CA/Browser-Forum (Certificate Authority Browser Forum, kurz: CA/B-Forum) ist ein internationales Gremium bestehend aus Zertifizierungsstellen (CAs), Browser-Herstellern und anderen Softwareanbietern, das branchenweite Sicherheitsstandards für digitale Zertifikate und deren Verwendung im Internet definiert. Es spielt eine zentrale Rolle bei der Festlegung der technischen und organisatorischen Anforderungen an SSL-/TLS-Zertifikate, wie sie beim Aufbau verschlüsselter HTTPS-Verbindungen eingesetzt werden.

Aufbau und Mitgliederstruktur

Das Forum besteht aus stimmberechtigten Mitgliedern (CAs und Browser-/Plattformanbieter) sowie assoziierten Teilnehmern, die beratend tätig sind. Zu den Mitgliedern zählen u. a.:

• Zertifizierungsstellen wie Sectigo, DigiCert, GlobalSign, Let's Encrypt
• Browser-Anbieter wie Mozilla, Google (Chrome), Microsoft (Edge), Apple (Safari)
• Plattformanbieter wie Oracle oder Cloudflare(als Root-CA-Betreiber)

Hauptaufgaben und Ziele des CA/Browser-Forums

• Erstellung und Pflege der Baseline Requirements für öffentlich vertrauenswürdige SSL/TLS-Zertifikate
• Definition von Validierungsrichtlinien für Domain Validation (DV), Organization Validation (OV) und Extended Validation (EV)
• Festlegung technischer Anforderungen (z. B. Schlüssellängen, Hash-Algorithmen, Sperrmechanismen wie OCSP und CRL)
• Reaktion auf Missbrauchsfälle, Sicherheitsvorfälle oder kompromittierte Zertifikate
• Koordination zwischen Browsern und CAs zur Aufrechterhaltung des öffentlichen Vertrauens

Wichtige Richtlinien und Dokumente

• Baseline Requirements (BR): Regelt die technischen und organisatorischen Anforderungen für öffentlich vertrauenswürdige Zertifikate
• EV Guidelines: Zusätzliche Richtlinien für Extended Validation-Zertifikate (z. B. detaillierte Firmenprüfung)
• Code Signing Guidelines: Anforderungen für digitale Signaturen von Softwareprodukten

Beispiel: Auswirkungen der CA/B-Richtlinien

• Maximale Gültigkeitsdauer für TLS-Zertifikate wurde auf 398 Tage begrenzt
• Pflicht zur Überprüfung der Domaininhaberschaft vor Ausstellung
• Verpflichtung zur schnellen Sperrung kompromittierter Zertifikate über OCSP/CRL
• Definition von Standardattributen im Distinguished Name (z. B. CN, O, L)

Relevanz für Domaininhaber und Webhosting

Die Richtlinien des CA/Browser-Forums beeinflussen unmittelbar die Art und Weise, wie Zertifikate ausgestellt, geprüft und von Browsern akzeptiert werden. Für Domaininhaber bedeutet das:

• Zertifikate müssen regelmäßig erneuert werden (z. B. alle 13 Monate)
• Fehlende oder fehlerhafte Validierung kann zur Sperrung führen
• Nur Zertifikate von vertrauenswürdigen CAs (gemäß CA/B-Forum) werden in Browsern als sicher erkannt

Technischer Bezug: SSL/TLS, OCSP, CAA-Records

• SSL/TLS: Die CA/B-Richtlinien bestimmen, welche Zertifikate im HTTPS-Kontext als gültig gelten
• OCSP: Das Forum verlangt, dass Browser Gültigkeitsprüfungen über das Online Certificate Status Protocol unterstützen
• CAA-Records: Werden in den Baseline Requirements empfohlen, um die Zertifikatsausstellung auf autorisierte CAs zu beschränken

Empfehlungen zur Einhaltung der CA/B-Richtlinien

• Verwenden Sie nur SSL-Zertifikate von CAs, die Mitglieder des CA/Browser-Forums sind
• Nutzen Sie aktuelle Verfahren zur Domainvalidierung (z. B. DNS- oder HTTP-Challenges)
• Erneuern Sie Zertifikate rechtzeitig und automatisieren Sie die Erneuerung bei Bedarf (z. B. mit Let’s Encrypt)
• Vermeiden Sie Zertifikate mit schwachen Schlüsseln oder veralteten Hash-Algorithmen

Fazit zum CA/Browser-Forum

Das CA/Browser-Forum ist die zentrale Instanz zur Standardisierung und Sicherheit im Bereich digitaler Zertifikate. Seine Richtlinien bestimmen, welchen Zertifizierungsstellen und Zertifikaten Browser und Betriebssysteme vertrauen. Für Domaininhaber, Hostinganbieter und Webentwickler ist es essenziell, die Vorgaben des CA/B-Forums zu kennen und einzuhalten, um eine sichere und vertrauenswürdige Webpräsenz zu gewährleisten.

Alle Angaben ohne Gewähr.