ITPub博客

首页 > IT职业 > IT职场 > CA/B 论坛10月会议 S/MIME证书和代码签名证书的新基线要求提上日程

CA/B 论坛10月会议 S/MIME证书和代码签名证书的新基线要求提上日程

IT职场 作者:RacentYY 时间:2021-10-29 13:17:06 0 删除 编辑

10 月份,CA/B 论坛圆满召开了今年的最后一次会议。本月会议提出了几项更新,包括有关 Apple root 程序、S/MIME 证书和代码签名证书文件新基线要求、eIDAS 2.0 预告等议题。

锐成信息带您了解会议最新内容,具体详情如下:

Apple root 程序

Apple 宣布了新的 S/MIME 邮件证书 文件要求,预计在明年4 月开始实施。Apple 称自2022 4 1 日起,将缩短S/MIME 证书的有效期为两年 所有证书颁发机构(即CA )公开所有与苹果根证书列表相关链的CA 证书。

此外,Apple 还要求S/MIME 证书:

ü   包括 emailProtection EKU

ü   包括至少一个包含电子邮件地址的使用者可选名称 rFC822Name 值;

ü   有效期不超过 825 天;

ü   使用加密强度≥SHA-256 签名算法;

ü   满足以下密钥大小要求:

如使用RSA 加密算法,密钥大小必须至少为 2048 位,且必须能被 8 整除。

       如使用 ECDSA 算法,密钥必须代表 NIST P-256 NIST P-384 NIST P-521 命名椭圆曲线上的有效点。

更改SSL/TLS 证书文件

在过去两年左右的时间里,验证小组委员会一直致力于更清楚、更明确地说明哪些内容可以展示在公众信任的 证书中,哪些内容可能不出现在证书中。虽然我们强烈支持明确的要求,但更严格的信息要求可能会给部分客户造成困扰。此次会议中提出了很多更新建议,其中大部分可能会在2022 年通过,并在2023 年被要求执行。

eIDAS 2.0 预告

Enrico Entschew 在会议上围绕在欧洲正实施 eIDAS (欧盟电子签名及信任体系条例)更新做了总结。根据当前的提案,浏览器将被要求遵守欧盟信任列表,并为欧洲证书(称为 QWAC )提供可视化指标。此外,在eIDAS 2.0 中他强调了数字身份重要性,并表示在数字钱包和下一代数字身份方面还有很多工作要做。

S/MIME 证书基线要求

S/MIME 工作组正在制定一套新的S/MIME 基线要求。虽然这些要求要到2022 年才能最终确定,可能要到2023 年或更晚才会生效,但该组织已经完成了对S/MIME 文件草案的讨论, 。在策略要求中有部分亮点值得关注:首先,它有一个传统概要文件,里面基本包括了对行业中现有的实践的系统介绍,也允许现有的CA 快速采用和推进新的S/MIME 基线要求。此外,它还包括升级到更有价值的证书类型的路径,包括那些包含经过验证的身份信息的证书。最后,最苛刻的条款将被降级为严格规定,这样那些认为此条款有用的人可以继续采用,如果认为无用则可以选择忽略。

改善代码签名服务要求

最后, 代码签名工作组正在改善 代码签名 服务,这可能会大大提高个人持有的数字令牌的安全性和可用性。 该工作组的工作仍处于早期阶段,目前的要求尚不明确,但我们希望代码签名服务能够快速提高数字签名资产的安全性和可用性。

正如今年早些时候,CA/B 论坛宣布 代码签名证书更改最小密钥长度为3072 一样,其目的也是为了提高数字签名的安全性。

根据以上会议摘要可看出,不论是CA/B 论坛还是Apple 公司都在开始研究S/MIME 证书和代码签名证书的新要求。随着公共PKI 的广泛应用,锐成信息相信在不久的将来,将会有越来越多的用户注重身份认证和数字签名,这也就意味着互联网安全行业需要基于安全性和可用性原则提高数字证书合规标准,让广大用户群体使用上方便快捷的证书,保障其数据安全。

来源锐成信息,转载请注明原文地址:https://www.racent.com/blog/ca-browser-forum-recap-october-2021


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69998338/viewspace-2839689/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
埋头搬砖,只为提高互联网安全意识

注册时间:2021-04-14

  • 博文量
    47
  • 访问量
    14736