近日,CA/B论坛成功举办了今年的最后一次会议。 会议提出了几项更新要求,包括苹果新root程序相关问题、S/MIME证书和代码签名证书文件的新基线要求、eIDAS 2.0预览等。
天威为您精心整理了会议内容。 详细情况如下:
苹果的新根程序
Apple 宣布了新的 S/MIME 邮件证书文件要求,预计将于明年 4 月实施。 苹果声称,从2022年4月1日起,将S/MIME证书的有效期缩短至两年,并要求所有认证机构(即CA)公开与苹果根证书列表相关的所有CA证书。
此外,Apple 还需要 S/MIME 证书:
1.包括emailProtection EKU;
2. 包含至少一个用户可选名称 rFC822Name 值,其中包含电子邮件地址;
3、有效期不超过825天;
4.使用加密强度≥SHA-256签名算法;
5. 满足以下键大小要求:
•如果使用RSA加密算法,密钥大小必须至少为2048位,并且必须能被8整除。
• 如果使用 ECDSA 算法,密钥必须代表 NIST P-256、NIST P-384 或 NIST P-521 命名椭圆曲线上的有效点。
更改 SSL/TLS 证书文件
会议提到,在过去两年左右的时间里,验证分委会一直在努力让公众信任的SSL/TLS证书中哪些内容可以展示,哪些内容不能出现在公众信任的SSL/TLS证书中。 证书。 虽然我们强烈支持明确的要求,但更严格的信息要求可能会给一些客户造成混淆。 本次会议提出了许多更新的建议,其中大部分可能在2022年通过,要求在2023年实施。
eIDAS 2.0 预告
Enrico Entschew 在会议上围绕在欧洲正实施 eIDAS(欧盟电子签名及信任体系条例)更新做了总结。根据当前的提案,浏览器将被要求遵守欧盟信任列表,并为欧洲证书(称为 QWAC)提供可视化指标。此外,在eIDAS2.0中他强调了数字身份重要性,并表示在数字钱包和下一代数字身份方面还有很多工作要做。
S/MIME证书基线要求
S/MIME工作组正在制定一套新的S/MIME基线要求。虽然这些要求要到2022年才能最终确定,可能要到2023年或更晚才会生效,但该组织已经完成了对S/MIME文件草案的讨论,并初步达成共识。在策略要求中有部分亮点值得关注:首先,它有一个传统概要文件,里面基本包括了对行业中现有的实践的系统介绍,也允许现有的CA快速采用和推进新的S/MIME基线要求。
此外,它还包括升级到更有价值的证书类型的路径,包括那些包含经过验证的身份信息的证书。最后,最苛刻的条款将被降级为严格规定,这样那些认为此条款有用的人可以继续采用,如果认为无用则可以选择忽略。
改善代码签名服务要求
会议最后一项议题讨论了改善代码签名服务要求。目前,代码签名工作组正在改善代码签名服务,这可能会大大提高个人持有的数字令牌的安全性和可用性。该工作组的工作仍处于早期阶段,目前的要求尚不明确,但我们希望代码签名服务能够快速提高数字签名资产的安全性和可用性。
正如今年早些时候,CA/B论坛宣布代码签名证书更改最小密钥长度为3072位一样,其目的也是为了提高数字签名的安全性。
通过以上会议内容不难看出,不论是CA/B论坛还是Apple公司都在开始研究S/MIME证书和代码签名证书的新要求。
天威诚信认为,随着公共PKI的应用愈来愈广泛,未来将会有越来越多的用户注重身份认证和数字签名,这也意味着互联网安全行业需要基于安全性和可用性原则提高数字证书合规标准,以便为广大用户群体提供更方便快捷的证书及服务,保障用户信息和网络数据安全。
