[7] 証明書ポリシーcertificate policies 証明書 の発行方針について記述する証明書拡張 です。
仕様書 [1] RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2015-02-22 15:44:10 +09:00 版) https://tools.ietf.org/html/rfc5280#section-4.2.1.4 [26] RFC 6818 - Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile (2015-03-24 03:47:50 +09:00 版) https://tools.ietf.org/html/rfc6818#section-3 [3] BR 2014-11-01 05:54:38 +09:00 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=19 [27] BR 2014-11-01 05:54:38 +09:00 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=43 [18] (2014-11-01 05:09:16 +09:00 版) https://cabforum.org/wp-content/uploads/EV-V1_5_2Libre.pdf#page=17 意味 [8] 末端実体証明書 においては、当該証明書 の発行 時に従ったポリシーや、
当該証明書 を利用できる目的を示します。 >>1
[9] CA証明書 においては、当該証明書 を含む certification path
に対してポリシーの集合を制限するものです >>1
[10] 特定のポリシーに関する要件を持つ応用 は、受け入れるポリシーの一覧を保持し、
証明書 に示されたポリシーの OID と比較することが期待されています。
本拡張が重要critical な certification path 検証ソフトウェアは本拡張を解釈できるか、または証明書 を拒絶するかのいずれかとしなければなりません >>1
構文 [32]
多くのCA証明書 やEE証明書 が、
1つ以上 の証明書ポリシー を含んでいるようです。
[34]
EV証明書 ではCA 独自の証明書ポリシー と
EV を表す証明書ポリシー がこの順序で指定されるのが一般的なようです。
この順序が守られていない証明書 や、
守られないと挙動が変わる実装があったようです >>31
[33]
証明書ポリシー が含まれる場合の多くは、
CPS
(1.3.6.1.5.5.7.2.1)
の https: URL
の IA5String を添えて指定しているようです。
[35]
複数の証明書ポリシー が指定される場合、
CPS はそのうちのいずれかに指定されるのが普通なようです。
第1の証明書ポリシー に指定されることが多いのですが、
それ以外の場合も少なくありません。
[37]
user notice (1.3.6.1.5.5.7.2.2)
はそれほど見かけませんが、
Let's Encrypt の証明書 は
UTF8String の説明文が入っています。
[31] グーグルChromeに証明書関連のバグ、シマンテックが指摘 | 日経 xTECH(クロステック)
(日経 xTECH(クロステック) 著, 2018-08-26 17:30:59 +09:00 )
https://tech.nikkeibp.co.jp/it/atcl/news/17/032800954/ 影響を受けるのはバージョン57(Chrome 57)のみ。グーグルもこのバグを報告している。
ところが、使用しているEV SSL証明書によっては、組織名が表示されず「保護された通信」という文言のみが表示されるという。つまり、EV SSL証明書以外の証明書を使っているWebサイトと同じになる。シマンテックが発行したEV SSL証明書でも、このような表示になる場合があるとしている。
シマンテックの情報によると、今回のバグは、証明書ポリシー(OID 2.5.29.32)が、「ポリシーID#1(2.23.140.1.1)、ポリシーID#2(2.16.840.1.113733.1.7.23.6)」の順序で記載されていると発生するという。
シマンテックはChrome 57のバグに対処するために、3月24日以降に発行するEV SSL証明書では、証明書ポリシーの記載順序を「ポリシーID#2(2.16.840.1.113733.1.7.23.6)、ポリシーID#1(2.23.140.1.1)」に変更した。
文脈 [16] BR に従うルートCA証明書 は本拡張を含むべきではありません >>3 , >>27
[28] BR に従う下位CA証明書 や Subscriber Certificate では本拡張を含めなければなりません >>27
OID [2] CA が当該証明書 を含む certification path について方針の集合を制限したくない場合には、
anyPolicy = { 2 5 29 32 0 } を指定できます >>1
[4] BR に従う CA は、 BR により検証verify した
Subject Identity Information を含まない 、 BR に従った証明書 において、
{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) domain-validated(1)} = 2.23.140.1.2.1
を指定できます >>3 証明書 は、 subject 欄 に
organizationName streetAddress stateOrProvinceName portalCode なりません >>3
すなわち、 DV 証明書 を表します。 [5] BR に従う CA は、BR により検証verify した
Subject Identity Information を含む BR に従った証明書 において、
{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) subject-identity-validated(2)} = 2.23.140.1.2.2
を指定できます >>3 証明書 は、 subject 欄 に
organizationName localityName stateOrProvinceName countryName なりません >>3
すなわち、 OV 証明書 を表します。 [6] BR はこの2つの OID を規定していますが、どちらも必須とはなっていません。
BR に従った証明書 であってもこのどちらも含まないことがあります。[36]
CA証明書 では、 OV かつ DV のように、
EE証明書 だとしたら矛盾しているような証明書ポリシー が同時に指定されることがあるようです。
[30] 証明書ポリシー の OID 2.5.29.32.0 (anyPolicy)2.23.140.1.1 (EV )2.23.140.1.2.1 (DV )2.23.140.1.2.2 (OV )1.2.392.200081.1.11.3.6.1.4.1.6449.1.2.2.71.3.6.1.4.1.6449.1.2.2.261.3.6.1.4.1.11129.2.5.31.3.6.1.4.1.44947.1.1.12.16.840.1.114412.1.12.16.840.1.114412.1.22.16.840.1.114412.2.12.16.840.1.114414.1.7.23.1DV、OV、EV [13] Web で用いられる証明書 は、 CA による検証の度合いにより
OV 、DV 、EV の3段階に分類されます。
[14] BR に従い Subject Identity Information を含まない証明書 を DV 、
Subject Identity Information を含む証明書 を OV と呼ぶと考えられます。
また EV Guidelines に従った証明書 を EV と呼びます。
[15] DV や OV といった用語は基本用語として広く使われていますが、
BR その他の文書で明確に定義されたものではないようです。
歴史的に DV と OV の区分は曖昧なようです。[11] Telling DV and OV Apart
(2015-04-04 21:11:42 +09:00 版)
https://www.globalsign.com/en/ssl-information-center/telling-dv-and-ov-certificates-apart/ [12] How to tell DV and OV certificates apart | UNMITIGATED RISK
(2015-04-04 21:11:53 +09:00 版)
http://unmitigatedrisk.com/?p=203 [17] [ cabfpub] OIDs for DV and OV2014-10-22 20:02:35 +09:00 版) https://cabforum.org/pipermail/public/2014-October/004065.html [19] CA が Subscriber に発行 するEV証明書 は、
当該 CA が定義する次のようなポリシー識別子を証明書 の証明書ポリシー 拡張に含めなければなりません >>18 [20] どの CA policy statement が当該証明書 に関係するかを示す[21] 当該 CA が EV Guidelines を支持し適合することを表明する[22] Application Software Supplier との事前同意により当該証明書 を EV証明書 であると示す
EV OID 参照。[24] issuing CA の管理下にない EV 下位CA が発行 する証明書 は、
issuing CA によって定義される、当該下位CA が実装する EV Policies
を明示的に識別する1つ以上のポリシー識別子を含めなければなりません >>18
[25] ルートCA の管理下にある EV 下位CA に発行 する証明書 は、
anyPolicy >>18
[23] Application Software Supplier は、ルートCA証明書 に関連付けられたメタデータ に
EV ポリシー識別子を蓄積することにより、 EV証明書 を発行することが承認されたルートCA
を識別します >>18
歴史 [29] 705285 - EV evaluation breaks if "2.23.140.1.1" is present and the root is not enabled for it - chromium - Monorail
(2017-03-28 10:57:44 +09:00 )
https://bugs.chromium.org/p/chromium/issues/detail?id=705285