首页>安全资讯>CAB Forum投票:微软的决胜投票很可能无效

CAB Forum投票:微软的决胜投票很可能无效

CAB论坛由证书颁发机构(CA)和浏览器厂商组成,旨在共同组织颁发公开证书的指导方针和做法,是SSL证书行业的风向标。

CAB论坛投票大会第194号决议试图纠正最近一次投票造成的非故意性后果:由于文字错误,第193号决议将导致大量“有效证书”在短短几日内失效。这将是CA和他们的客户的麻烦,如果他们想要重新发放或替换现有证书,那么他们需要等待他们的信息被重新验证。

第194号决议的投票期于4月16日关闭,此后CAB论坛主席柯克·霍尔(Kirk Hall)向组委会成员发了一封电子邮件,通知他们投票已经过去了。在CAB论坛中,每个组(CA和浏览器)必须批准一个选票才能通过。当时,所有来自CA的24票都赞成了194号决议,而由于浏览器厂商方面未满足50%赞成票,投票结果一度悬而未决。直到统计到大会三日前微软的投票,浏览器厂商的票数才终于过半。

由于代表微软投票的是其雇员,并不在CAB成员邮件列表里,他的邮件在一开始被拒绝,其他成员都不知道这张票。只有柯克·霍尔因为被CC的原因看到了微软的选择。正因如此,Google的Ryan Sleevi指出,微软的投票不符合操作规定,不应该作数。

如果微软的投票被宣布无效,该提案将以失败告终。如果投票通过,CA的困难将被解救。而一旦失败,他们将需要迅速采取行动处理与以前验证的信息相关的规则变更。但就算微软的投票这次被批无效,再组织一次投票且每张票都符合流程,提案依旧会被通过。

对于围观者来说,google的这种对投票程序和规定的质疑是毫无意义的。微软都投支持票了,还想怎样?虽然在这种情况下没有太多的利害关系,那下一次呢?

CAB论坛章程规定:

2.2 (d) “Upon completion of the discussion period, Members shall have exactly seven calendar days for voting, with the deadline clearly communicated in the ballot and sent via the Public Mail List. All voting will take place via the Public Mail List. Votes not submitted to the Public Mail List will not be considered valid, and will not be counted for any purpose.”

2.2(d)“讨论期结束后,议员应有完整的七个日历日进行表决,截止日期在选票中明确传达,并通过公共邮件列表发送.所有投票将通过公共邮件列表进行, 未提交给公共邮件列表的投票不被视为有效,不会被视为任何目的.”

辩论的内容超出了“已提交”一词的含义。只要邮件已经发出,不管张贴列表里收没收到,都算有效吗? 还是说邮件必须被接收和归档? 在这个具体的(可能预见的)情况下,“通过公共邮件列表进行投票”的要求也表明微软的投票并不符合规定。

不过,Hall表示,微软的投票已被发送到正确的地址并在最后期限内,因此正在点票。在Sleevi坚持反对意见之后,Hall写道:

“一个浏览器尝试阻止另一个浏览器的投票,这是一种不客气的方式。Google是唯一在这次投票中投票的论坛成员--20个CA和2个浏览器投票为yes。 显然,成员们的共识是赞成这一投票,而且即使不是由我们的服务器转发,技术上微软正式投票。”

在成员互通多封邮件后,Hall提议再重新办一个简易投票来得到最终结果,但这一做法反倒遭到更强烈的反对。

这次争议体现了当下CAB论坛的窘境:众人不齐心,分歧和争议不断发生。Web PKI的未来存在持续的分歧,特别是撤销检查,证书颁发自动化和证书有效性等问题。论坛最近也出现了治理和知识产权问题,阻碍了许多其他举措和改进。194号投票本来是件小事,但这一争端的结果不仅仅是投票,它将为论坛设定基调——我们是走向不和谐还是合作?

票选的命运尚未确定,双方仍在僵持。未来将如何?每个利益相关方都有自己的期许。CAB论坛的和平之路,且行且珍惜。

相关资讯:

CA/B Forum 批准证书颁发机构授权(CAA)提案

CA/B论坛最近投票批准了将CAA(证书颁发机构授权)作为其证书颁发标准的基本要求之一,这项措施将在2017年9月正式生效。

CA/B Forum新规:SSL证书最长有效期将变更为2年

CA/B论坛第193号投票将对所有公开信任的SSL证书的最大生命周期设置新限制,新的证书有效期为825天——即2年有效期,包括更新和更换部分填充内置——将从2018年3月1日起生效。

通过新的CAA标准,HTTPS证书颁发更加安全

CA浏览器论坛投票发布证书颁发机构授权(CAA)标准,SSL / TLS证书在颁发之前必须执行CAA强制性检查,作为防止HTTPS证书错误签发的安全措施。

沃通微信公众号