共计 1448 个字符,预计需要花费 4 分钟才能阅读完成。
10 月份,CA/ B 论坛圆满召开了往年的最初一次会议。本月会议提出了几项更新,包含无关 Apple 新 root 程序、S/MIME 证书和代码签名证书文件新基线要求、eIDAS 2.0 预报等议题。
锐成信息 带您理解会议最新内容,具体详情如下:
Apple 新 root 程序
Apple 发表了新的 S /MIME 邮件证书文件要求,预计在明年 4 月开始施行。Apple 称自 2022 年 4 月 1 日起,将缩短 S /MIME 证书的有效期为两年,并要求所有证书颁发机构(即 CA)公开所有与苹果根证书列表相干链的 CA 证书。
此外,Apple 还要求 S /MIME 证书:
- 包含 emailProtection EKU;
- 包含至多一个蕴含电子邮件地址的使用者可选名称 rFC822Name 值;
- 有效期不超过 825 天;
- 应用加密强度≥SHA-256 签名算法;
- 满足以下密钥大小要求:
• 如应用 RSA 加密算法,密钥大小必须至多为 2048 位,且必须能被 8 整除。
• 如应用 ECDSA 算法,密钥必须代表 NIST P-256、NIST P-384 或 NIST P-521 命名椭圆曲线上的无效点。
更改 SSL/TLS 证书文件
在过来两年左右的工夫里,验证小组委员会始终致力于更分明、更明确地阐明哪些内容能够展现在公众信赖的 SSL/TLS 证书中,哪些内容可能不呈现在证书中。尽管咱们强烈反对明确的要求,但更严格的信息要求可能会给局部客户造成困扰。此次会议中提出了很多更新倡议,其中大部分可能会在 2022 年通过,并在 2023 年被要求执行。
eIDAS 2.0 预报
Enrico Entschew 在会议上围绕在欧洲正施行 eIDAS(欧盟电子签名及信赖体系条例)更新做了总结。依据以后的提案,浏览器将被要求恪守欧盟信赖列表,并为欧洲证书(称为 QWAC)提供可视化指标。此外,在 eIDAS 2.0 中他强调了数字身份重要性,并示意在数字钱包和下一代数字身份方面还有很多工作要做。
S/MIME 证书基线要求
S/MIME 工作组正在制订一套新的 S /MIME 基线要求。尽管这些要求要到 2022 年能力最终确定,可能要到 2023 年或更晚才会失效,但该组织曾经实现了对 S /MIME 文件草案的探讨,并初步达成共识。在策略要求中有局部亮点值得关注:首先,它有一个传统概要文件,外面根本包含了对行业中现有的实际的零碎介绍,也容许现有的 CA 疾速采纳和推动新的 S /MIME 基线要求。此外,它还包含降级到更有价值的证书类型的门路,包含那些蕴含通过验证的身份信息的证书。最初,最刻薄的条款将被降级为严格规定,这样那些认为此条款有用的人能够持续采纳,如果认为无用则能够抉择疏忽。
改善代码签名服务要求
最初,代码签名工作组正在改善代码签名服务,这可能会大大提高集体持有的数字令牌的安全性和可用性。该工作组的工作仍处于晚期阶段,目前的要求尚不明确,但咱们心愿代码签名服务可能疾速进步数字签名资产的安全性和可用性。
正如往年早些时候,CA/ B 论坛发表代码签名证书更改最小密钥长度为 3072 位一样,其目标也是为了进步数字签名的安全性。
依据以上会议摘要可看出,不论是 CA/ B 论坛还是 Apple 公司都在开始钻研 S /MIME 证书和代码签名证书的新要求。随着公共 PKI 的广泛应用,锐成信息置信在不久的未来,将会有越来越多的用户重视身份认证和数字签名,这也就意味着互联网安全行业须要基于安全性和可用性准则进步数字证书合规规范,让宽广用户群体应用上方便快捷的证书,保障其数据安全。
起源锐成信息,转载请注明原文地址:https://www.racent.com/blog/c…
