[7] 証明書ポリシー拡張は、 証明書の発行方針について記述する証明書拡張です。
[8] 末端実体証明書においては、当該証明書の発行時に従ったポリシーや、 当該証明書を利用できる目的を示します。 >>1
[9] CA証明書においては、当該証明書を含む certification path に対してポリシーの集合を制限するものです >>1。
[10] 特定のポリシーに関する要件を持つ応用は、受け入れるポリシーの一覧を保持し、 証明書に示されたポリシーの OID と比較することが期待されています。 本拡張が重要な certification path 検証ソフトウェアは本拡張を解釈できるか、または証明書を拒絶するかのいずれかとしなければなりません。 >>1
[32] 多くのCA証明書やEE証明書が、 1つ以上の証明書ポリシーを含んでいるようです。
[34] EV証明書ではCA独自の証明書ポリシーと EVを表す証明書ポリシーがこの順序で指定されるのが一般的なようです。 この順序が守られていない証明書や、 守られないと挙動が変わる実装があったようです >>31。
[33]
証明書ポリシーが含まれる場合の多くは、
CPS
(1.3.6.1.5.5.7.2.1)
の https: URL
の IA5String を添えて指定しているようです。
[35] 複数の証明書ポリシーが指定される場合、 CPS はそのうちのいずれかに指定されるのが普通なようです。 第1の証明書ポリシーに指定されることが多いのですが、 それ以外の場合も少なくありません。
[37]
user notice (1.3.6.1.5.5.7.2.2)
はそれほど見かけませんが、
Let's Encrypt の証明書は
UTF8String の説明文が入っています。
影響を受けるのはバージョン57(Chrome 57)のみ。グーグルもこのバグを報告している。
ところが、使用しているEV SSL証明書によっては、組織名が表示されず「保護された通信」という文言のみが表示されるという。つまり、EV SSL証明書以外の証明書を使っているWebサイトと同じになる。シマンテックが発行したEV SSL証明書でも、このような表示になる場合があるとしている。
シマンテックの情報によると、今回のバグは、証明書ポリシー(OID 2.5.29.32)が、「ポリシーID#1(2.23.140.1.1)、ポリシーID#2(2.16.840.1.113733.1.7.23.6)」の順序で記載されていると発生するという。
シマンテックはChrome 57のバグに対処するために、3月24日以降に発行するEV SSL証明書では、証明書ポリシーの記載順序を「ポリシーID#2(2.16.840.1.113733.1.7.23.6)、ポリシーID#1(2.23.140.1.1)」に変更した。
[16] BR に従うルートCA証明書は本拡張を含むべきではありません >>3, >>27。
[28] BR に従う下位CA証明書や Subscriber Certificate では本拡張を含めなければなりません >>27。
[2] CA が当該証明書を含む certification path について方針の集合を制限したくない場合には、
anyPolicy = { 2 5 29 32 0 } を指定できます >>1。
[4] BR に従う CA は、 BR により検証した
Subject Identity Information を含まない、 BR に従った証明書において、
{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) domain-validated(1)} = 2.23.140.1.2.1
を指定できます >>3。
そのような証明書は、 subject 欄に
organizationName, streetAddress, stateOrProvinceName,
portalCode を含んではなりません >>3。
[5] BR に従う CA は、BR により検証した
Subject Identity Information を含む BR に従った証明書において、
{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) subject-identity-validated(2)} = 2.23.140.1.2.2
を指定できます >>3。
そのような証明書は、 subject 欄に
organizationName, localityName, stateOrProvinceName (あれば),
countryName を含まなければなりません >>3。
[36] CA証明書では、 OV かつ DV のように、 EE証明書だとしたら矛盾しているような証明書ポリシーが同時に指定されることがあるようです。
[13] Web で用いられる証明書は、 CA による検証の度合いにより OV、DV、EV の3段階に分類されます。
[14] BR に従い Subject Identity Information を含まない証明書を DV、 Subject Identity Information を含む証明書を OV と呼ぶと考えられます。 また EV Guidelines に従った証明書を EV と呼びます。
[19] CA が Subscriber に発行するEV証明書は、
当該 CA が定義する次のようなポリシー識別子を証明書の証明書ポリシー拡張に含めなければなりません >>18。
[24] issuing CA の管理下にない EV 下位CAが発行する証明書は、 issuing CA によって定義される、当該下位CAが実装する EV Policies を明示的に識別する1つ以上のポリシー識別子を含めなければなりません >>18。
[25] ルートCAの管理下にある EV 下位CAに発行する証明書は、
anyPolicy を含めても構いません >>18。
[23] Application Software Supplier は、ルートCA証明書に関連付けられたメタデータに EV ポリシー識別子を蓄積することにより、 EV証明書を発行することが承認されたルートCA を識別します >>18。
[29] 705285 - EV evaluation breaks if "2.23.140.1.1" is present and the root is not enabled for it - chromium - Monorail () <https://bugs.chromium.org/p/chromium/issues/detail?id=705285>