CA/B 論壇10月會議 S/MIME證書和程式碼簽名證書的新基線要求提上日程

10 月份，CA/B 論壇圓滿召開了今年的最後一次會議。本月會議提出了幾項更新，包括有關 Apple 新root 程式、S/MIME 證書和程式碼簽名證書檔案新基線要求、eIDAS 2.0 預告等議題。

銳成資訊帶您瞭解會議最新內容，具體詳情如下：

Apple 新root 程式

Apple 宣佈了新的 S/MIME 郵件證書 檔案要求，預計在明年4 月開始實施。Apple 稱自2022 年4 月1 日起，將縮短S/MIME 證書的有效期為兩年 所有證書頒發機構（即CA ）公開所有與蘋果根證書列表相關鏈的CA 證書。

此外，Apple 還要求S/MIME 證書：

ü   包括 emailProtection EKU ；

ü   包括至少一個包含電子郵件地址的使用者可選名稱 rFC822Name 值；

ü   有效期不超過 825 天；

ü   使用加密強度≥SHA-256 簽名演算法；

ü   滿足以下金鑰大小要求：

• 如使用RSA 加密演算法，金鑰大小必須至少為 2048 位，且必須能被 8 整除。

       • 如使用 ECDSA 演算法，金鑰必須代表 NIST P-256 、NIST P-384 或 NIST P-521 命名橢圓曲線上的有效點。

更改SSL/TLS 證書檔案

在過去兩年左右的時間裡，驗證小組委員會一直致力於更清楚、更明確地說明哪些內容可以展示在公眾信任的 證書中，哪些內容可能不出現在證書中。雖然我們強烈支援明確的要求，但更嚴格的資訊要求可能會給部分客戶造成困擾。此次會議中提出了很多更新建議，其中大部分可能會在2022 年透過，並在2023 年被要求執行。

eIDAS 2.0 預告

Enrico Entschew 在會議上圍繞在歐洲正實施 eIDAS （歐盟電子簽名及信任體系條例）更新做了總結。根據當前的提案，瀏覽器將被要求遵守歐盟信任列表，併為歐洲證書（稱為 QWAC ）提供視覺化指標。此外，在eIDAS 2.0 中他強調了數字身份重要性，並表示在數字錢包和下一代數字身份方面還有很多工作要做。

S/MIME 證書基線要求

S/MIME 工作組正在制定一套新的S/MIME 基線要求。雖然這些要求要到2022 年才能最終確定，可能要到2023 年或更晚才會生效，但該組織已經完成了對S/MIME 檔案草案的討論， 。在策略要求中有部分亮點值得關注：首先，它有一個傳統概要檔案，裡面基本包括了對行業中現有的實踐的系統介紹，也允許現有的CA 快速採用和推進新的S/MIME 基線要求。此外，它還包括升級到更有價值的證書型別的路徑，包括那些包含經過驗證的身份資訊的證書。最後，最苛刻的條款將被降級為嚴格規定，這樣那些認為此條款有用的人可以繼續採用，如果認為無用則可以選擇忽略。

改善程式碼簽名服務要求

最後， 程式碼簽名工作組正在改善 程式碼簽名 服務，這可能會大大提高個人持有的數字令牌的安全性和可用性。 該工作組的工作仍處於早期階段，目前的要求尚不明確，但我們希望程式碼簽名服務能夠快速提高數字簽名資產的安全性和可用性。

正如今年早些時候，CA/B 論壇宣佈 程式碼簽名證書更改最小金鑰長度為3072 位 一樣，其目的也是為了提高數字簽名的安全性。

根據以上會議摘要可看出，不論是CA/B 論壇還是Apple 公司都在開始研究S/MIME 證書和程式碼簽名證書的新要求。隨著公共PKI 的廣泛應用，銳成資訊相信在不久的將來，將會有越來越多的使用者注重身份認證和數字簽名，這也就意味著網際網路安全行業需要基於安全性和可用性原則提高數字證書合規標準，讓廣大使用者群體使用上方便快捷的證書，保障其資料安全。

來源銳成資訊，轉載請註明原文地址：https://www.racent.com/blog/ca-browser-forum-recap-october-2021