CA/B論壇10月議程匯總:S/MIME證書和代碼簽名證書的新基線要求提上日程

感謝銳成信息的投遞

Apple新root程序

Apple 宣布了新的S/MIME郵件證書文件要求,預計在明年4月開始實施。Apple稱自2022 年4月1日起,將縮短S/MIME證書的有效期為兩年,並要求所有證書頒發機構(即CA)公開所有與蘋果根證書列表相關鏈的CA證書。

此外,Apple還要求S/MIME證書:

ü  包括 emailProtection EKU;

ü  包括至少一個包含電子郵件地址的使用者可選名稱 rFC822Name 值;

ü  有效期不超過 825 天;

ü  使用加密強度≥SHA-256簽名算法;

ü  滿足以下密鑰大小要求:

• 如使用RSA加密算法,密鑰大小必須至少為 2048 位,且必須能被 8 整除。

        • 如使用 ECDSA算法,密鑰必須代表 NIST P-256、NIST P-384 或 NIST P-521 命名橢圓曲線上的有效點。

更改SSL/TLS證書文件

在過去兩年左右的時間裡,驗證小組委員會一直致力於更清楚、更明確地說明哪些內容可以展示在公眾信任的SSL/TLS證書中,哪些內容可能不出現在證書中。雖然我們強烈支持明確的要求,但更嚴格的信息要求可能會給部分客戶造成困擾。此次會議中提出了很多更新建議,其中大部分可能會在2022年通過,並在2023年被要求執行。

eIDAS 2.0 預告

Enrico Entschew 在會議上圍繞在歐洲正實施 eIDAS(歐盟電子簽名及信任體系條例)更新做了總結。根據當前的提案,瀏覽器將被要求遵守歐盟信任列表,並為歐洲證書(稱為 QWAC)提供可視化指標。此外,在eIDAS 2.0中他強調了數字身份重要性,並表示在數字錢包和下一代數字身份方面還有很多工作要做。

S/MIME證書基線要求

S/MIME工作組正在制定一套新的S/MIME基線要求。雖然這些要求要到2022年才能最終確定,可能要到2023年或更晚才會生效,但該組織已經完成了對S/MIME文件草案的討論,並初步達成共識。在策略要求中有部分亮點值得關註:首先,它有一個傳統概要文件,裡面基本包括了對行業中現有的實踐的系統介紹,也允許現有的CA快速採用和推進新的S/MIME基線要求。此外,它還包括升級到更有價值的證書類型的路徑,包括那些包含經過驗證的身份信息的證書。最後,最苛刻的條款將被降級為嚴格規定,這樣那些認為此條款有用的人可以繼續採用,如果認為無用則可以選擇忽略。

改善代碼簽名服務要求

最後,代碼簽名工作組正在改善代碼簽名服務,這可能會大大提高個人持有的數字令牌的安全性和可用性。該工作組的工作仍處於早期階段,目前的要求尚不明確,但我們希望代碼簽名服務能夠快速提高數字簽名資產的安全性和可用性。

正如今年早些時候,CA/B論壇宣布代碼簽名證書更改最小密鑰長度為3072位一樣,其目的也是為了提高數字簽名的安全性。

根據以上會議摘要可看出,不論是CA/B論壇還是Apple公司都在開始研究S/MIME證書和代碼簽名證書的新要求。隨着公共PKI的廣泛應用,銳成信息相信在不久的將來,將會有越來越多的用戶注重身份認證和數字簽名,這也就意味着互聯網安全行業需要基於安全性和可用性原則提高數字證書合規標準,讓廣大用戶群體使用上方便快捷的證書,保障其數據安全。

(0)
上一篇 2021-10-29 14:42
下一篇 2021-10-29 14:51

相关推荐