Германия готовит стандарт безопасности для современных браузеров

Федеральное управление по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) разрабатывает минимальный набор правил безопасности, которым должны соответствовать все современные браузеры.

Согласно новому проекту рекомендаций, для того, чтобы считаться безопасным, браузер должен: поддерживать протокол TLS; иметь список доверенных сертификатов; поддерживать EV-сертификаты (Extended Validation – расширенная проверка); проверять действительность загруженных сертификатов с помощью списков CRL (список отзыва сертификатов) и по протоколу OCSP (сертификат отправляется на специализированный сервер, где проверяется его статус); использовать значки и выделение цветом для отображения зашифрованного или незашифрованного соединения; разрешать соединение с использующими истекшие сертификаты сайтами только с согласия пользователя; поддерживать HSTS, SOP, CSP 2.0, SRI, а также автоматическое обновление и отдельные механизмы обновления критически важных компонентов браузера и расширений.

В числе других требований указываются обязательная цифровая подпись обновлений, хранение паролей в зашифрованном виде, доступ к встроенному хранилищу паролей должен осуществляться только при вводе мастер-пароля, пользователи должны иметь возможность блокировать либо удалить пароли из менеджера паролей, историю браузинга, функцию автодополнения, отключать функцию синхронизации с облачными сервисами и пр.

Кроме того, документ включает правила, касаемые базовых настроек браузера, в их числе поддержка версии TLS 1.2 и выше, использование HSTS должно быть активировано для всех web-сайтов и пр.

Ожидается, что после того, как проект пройдет общественное обсуждение, BSI опубликует список браузеров, соответствующих новым критериям.

Источник: Securitylab