Usted puede certificar casi cualquier cosa con Common Criteria, por su propia naturaleza. El primer paso de Common Criteria es definir el aspecto del sistema que se está certificando y luego establecer cuáles serán los criterios de seguridad adecuados para ese sistema. Si tuviera un destornillador habilitado para IP, podría obtener la certificación conforme a Common Criteria (suponiendo que fuera lo suficientemente seguro).
Mirando la lista de Productos Certificados de Criterios Comunes , por ejemplo, veo a BEA WebLogic e IBM WebSphere certificados. Esas son plataformas de aplicaciones web, un paso más allá de lo que estás buscando. También veo Splunk en la lista, que podría considerarse una aplicación web.
Ahora, no sé a ciencia cierta lo que estás buscando cuando dices aplicación web. Pero el único factor común entre todas las entradas en la lista de productos certificados por CC es que alguien quería venderlo a las personas que hicieron de la certificación de seguridad parte de su proceso de evaluación y compra. Si te refieres a aplicaciones web como, por ejemplo, Google Docs o Google Mail, Google no se las está vendiendo a nadie. Claro, venden el servicio , pero no las aplicaciones. Por lo tanto, no es necesario que los certifiquen con CC, porque no hay beneficio al hacerlo.
Espero que ayude!