CA/B 論壇10月會議 S/MIME證書和程式碼簽名證書的新基線要求提上日程
10 月份,CA/B 論壇圓滿召開了今年的最後一次會議。本月會議提出了幾項更新,包括有關 Apple 新root 程式、S/MIME 證書和程式碼簽名證書檔案新基線要求、eIDAS 2.0 預告等議題。
銳成資訊帶您瞭解會議最新內容,具體詳情如下:
Apple 新root 程式
Apple 宣佈了新的 S/MIME 郵件證書 檔案要求,預計在明年4 月開始實施。Apple 稱自2022 年4 月1 日起,將縮短S/MIME 證書的有效期為兩年 所有證書頒發機構(即CA )公開所有與蘋果根證書列表相關鏈的CA 證書。
此外,Apple 還要求S/MIME 證書:
ü 包括 emailProtection EKU ;
ü 包括至少一個包含電子郵件地址的使用者可選名稱 rFC822Name 值;
ü 有效期不超過 825 天;
ü 使用加密強度≥SHA-256 簽名演算法;
ü 滿足以下金鑰大小要求:
• 如使用RSA 加密演算法,金鑰大小必須至少為 2048 位,且必須能被 8 整除。
• 如使用 ECDSA 演算法,金鑰必須代表 NIST P-256 、NIST P-384 或 NIST P-521 命名橢圓曲線上的有效點。
更改SSL/TLS 證書檔案
在過去兩年左右的時間裡,驗證小組委員會一直致力於更清楚、更明確地說明哪些內容可以展示在公眾信任的 證書中,哪些內容可能不出現在證書中。雖然我們強烈支援明確的要求,但更嚴格的資訊要求可能會給部分客戶造成困擾。此次會議中提出了很多更新建議,其中大部分可能會在2022 年透過,並在2023 年被要求執行。
eIDAS 2.0 預告
Enrico Entschew 在會議上圍繞在歐洲正實施 eIDAS (歐盟電子簽名及信任體系條例)更新做了總結。根據當前的提案,瀏覽器將被要求遵守歐盟信任列表,併為歐洲證書(稱為 QWAC )提供視覺化指標。此外,在eIDAS 2.0 中他強調了數字身份重要性,並表示在數字錢包和下一代數字身份方面還有很多工作要做。
S/MIME 證書基線要求
S/MIME 工作組正在制定一套新的S/MIME 基線要求。雖然這些要求要到2022 年才能最終確定,可能要到2023 年或更晚才會生效,但該組織已經完成了對S/MIME 檔案草案的討論, 。在策略要求中有部分亮點值得關注:首先,它有一個傳統概要檔案,裡面基本包括了對行業中現有的實踐的系統介紹,也允許現有的CA 快速採用和推進新的S/MIME 基線要求。此外,它還包括升級到更有價值的證書型別的路徑,包括那些包含經過驗證的身份資訊的證書。最後,最苛刻的條款將被降級為嚴格規定,這樣那些認為此條款有用的人可以繼續採用,如果認為無用則可以選擇忽略。
改善程式碼簽名服務要求
最後, 程式碼簽名工作組正在改善 程式碼簽名 服務,這可能會大大提高個人持有的數字令牌的安全性和可用性。 該工作組的工作仍處於早期階段,目前的要求尚不明確,但我們希望程式碼簽名服務能夠快速提高數字簽名資產的安全性和可用性。
正如今年早些時候,CA/B 論壇宣佈 程式碼簽名證書更改最小金鑰長度為3072 位 一樣,其目的也是為了提高數字簽名的安全性。
根據以上會議摘要可看出,不論是CA/B 論壇還是Apple 公司都在開始研究S/MIME 證書和程式碼簽名證書的新要求。隨著公共PKI 的廣泛應用,銳成資訊相信在不久的將來,將會有越來越多的使用者注重身份認證和數字簽名,這也就意味著網際網路安全行業需要基於安全性和可用性原則提高數字證書合規標準,讓廣大使用者群體使用上方便快捷的證書,保障其資料安全。
來源銳成資訊,轉載請註明原文地址:https://www.racent.com/blog/ca-browser-forum-recap-october-2021
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69998338/viewspace-2839689/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- thawte程式碼簽名證書和Comodo程式碼簽名證書區別
- EV程式碼簽名證書和標準程式碼簽名證書有何不同?
- 程式碼簽名證書
- 程式碼簽名證書與SSL證書區別
- 蘋果簽名證書:共享證書和獨享證書找不同蘋果
- 普通OV版程式碼簽名證書,與EV程式碼簽名證書的作用以及區別
- DigiCert EV 程式碼簽名證書
- ios簽名證書:什麼是證書?iOS
- 從自簽名證書匯出pfx和cer證書
- 證書的數字簽名和認證 (轉)
- 程式碼簽名證書原理及好處
- 程式碼簽名證書是如何進行驗證工作的
- WHQL 認證需要購買EV 程式碼簽名證書
- 建立自簽名根證書-中間證書。
- 什麼是伺服器SSL證書 是SSL加密證書還是程式碼簽名證書伺服器加密
- TAM和CA證書的整合
- 細說 CA 和證書
- 什麼是自簽名證書?自簽名SSL證書的優缺點?
- 程式碼簽名證書組成部分有哪些
- 程式碼簽名證書能給哪些應用程式進行簽名
- 為什麼驅動程式簽名需要EV程式碼簽名證書
- 根證書 CA
- 如何在Outlook安裝使用S/MIME郵件證書實現郵件簽名加密加密
- 如何驗證獲取S/MIME郵件安全證書
- 關於程式碼簽名證書10個常見問題
- 基於CFSSL工具建立CA證書,服務端證書,客戶端證書服務端客戶端
- 程式碼簽名證書真的是必不可少的嗎
- openssl生成自簽名證書
- 生成自簽名SSL證書
- 遇到程式碼簽名證書出錯怎麼辦
- 如何選購S/MIME郵件安全證書
- 【原】CA證書的理解
- 什麼是自簽名SSL證書?自簽名證書有哪些安全隱患?
- ca 證書機制
- Apache 配置https 自簽名證書 或者 購賣證書ApacheHTTP
- 程式碼簽名證書——企業程式碼安全的不二之選!
- 程式碼簽名證書出錯的原因及解決方法
- 申請程式碼簽名證書如何生成CSR檔案