certificate policies extension

証明書ポリシー (PKI)

[7] 証明書ポリシー (certificate policies) 拡張は、 証明書の発行方針について記述する証明書拡張です。

仕様書

意味

[8] 末端実体証明書においては、当該証明書発行時に従ったポリシーや、 当該証明書を利用できる目的を示します。 >>1

[9] CA証明書においては、当該証明書を含む certification path に対してポリシーの集合を制限するものです >>1

[10] 特定のポリシーに関する要件を持つ応用は、受け入れるポリシーの一覧を保持し、 証明書に示されたポリシーの OID と比較することが期待されています。 本拡張が重要 (critical) certification path 検証ソフトウェアは本拡張を解釈できるか、または証明書を拒絶するかのいずれかとしなければなりません>>1

構文

[32] 多くのCA証明書EE証明書が、 1つ以上証明書ポリシーを含んでいるようです。

[34] EV証明書ではCA独自の証明書ポリシーEVを表す証明書ポリシーがこの順序で指定されるのが一般的なようです。 この順序が守られていない証明書や、 守られないと挙動が変わる実装があったようです >>31

[33] 証明書ポリシーが含まれる場合の多くは、 CPS (1.3.6.1.5.5.7.2.1) の https: URLIA5String を添えて指定しているようです。

[35] 複数の証明書ポリシーが指定される場合、 CPS はそのうちのいずれかに指定されるのが普通なようです。 第1の証明書ポリシーに指定されることが多いのですが、 それ以外の場合も少なくありません。

[37] user notice (1.3.6.1.5.5.7.2.2) はそれほど見かけませんが、 Let's Encrypt証明書UTF8String の説明文が入っています。

[31] グーグルChromeに証明書関連のバグ、シマンテックが指摘 | 日経 xTECH(クロステック) (日経 xTECH(クロステック)著, ) <https://tech.nikkeibp.co.jp/it/atcl/news/17/032800954/>

影響を受けるのはバージョン57(Chrome 57)のみ。グーグルもこのバグを報告している。

ところが、使用しているEV SSL証明書によっては、組織名が表示されず「保護された通信」という文言のみが表示されるという。つまり、EV SSL証明書以外の証明書を使っているWebサイトと同じになる。シマンテックが発行したEV SSL証明書でも、このような表示になる場合があるとしている。

シマンテックの情報によると、今回のバグは、証明書ポリシー(OID 2.5.29.32)が、「ポリシーID#1(2.23.140.1.1)、ポリシーID#2(2.16.840.1.113733.1.7.23.6)」の順序で記載されていると発生するという。

シマンテックはChrome 57のバグに対処するために、3月24日以降に発行するEV SSL証明書では、証明書ポリシーの記載順序を「ポリシーID#2(2.16.840.1.113733.1.7.23.6)、ポリシーID#1(2.23.140.1.1)」に変更した。

文脈

[16] BR に従うルートCA証明書は本拡張を含むべきではありません >>3, >>27

[28] BR に従う下位CA証明書Subscriber Certificate では本拡張を含めなければなりません >>27

OID

[2] CA が当該証明書を含む certification path について方針の集合を制限したくない場合には、 anyPolicy = { 2 5 29 32 0 } を指定できます >>1

[4] BR に従う CA は、 BR により検証 (verify) した Subject Identity Information を含まないBR に従った証明書において、 {joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) domain-validated(1)} = 2.23.140.1.2.1 を指定できます >>3。 そのような証明書は、 subject organizationName, streetAddress, stateOrProvinceName, portalCode を含んではなりません >>3

すなわち、 DV 証明書を表します。

[5] BR に従う CA は、BR により検証 (verify) した Subject Identity Information を含む BR に従った証明書において、 {joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) subject-identity-validated(2)} = 2.23.140.1.2.2 を指定できます >>3。 そのような証明書は、 subject organizationName, localityName, stateOrProvinceName (あれば), countryName を含まなければなりません >>3

すなわち、 OV 証明書を表します。
[6] BR はこの2つの OID を規定していますが、どちらも必須とはなっていません。 BR に従った証明書であってもこのどちらも含まないことがあります。

[36] CA証明書では、 OV かつ DV のように、 EE証明書だとしたら矛盾しているような証明書ポリシーが同時に指定されることがあるようです。

[30] 証明書ポリシーOID

DV、OV、EV

[13] Web で用いられる証明書は、 CA による検証の度合いにより OVDVEV の3段階に分類されます。

[14] BR に従い Subject Identity Information を含まない証明書DVSubject Identity Information を含む証明書OV と呼ぶと考えられます。 また EV Guidelines に従った証明書EV と呼びます。

[15] DVOV といった用語は基本用語として広く使われていますが、 BR その他の文書で明確に定義されたものではないようです。 歴史的に DVOV の区分は曖昧なようです。

[19] CASubscriber発行するEV証明書は、 当該 CA が定義する次のようなポリシー識別子を証明書証明書ポリシー拡張に含めなければなりません >>18

EV OID 参照。

[24] issuing CA の管理下にない EV 下位CA発行する証明書は、 issuing CA によって定義される、当該下位CAが実装する EV Policies を明示的に識別する1つ以上のポリシー識別子を含めなければなりません >>18

[25] ルートCAの管理下にある EV 下位CA発行する証明書は、 anyPolicy を含めても構いません >>18

[23] Application Software Supplier は、ルートCA証明書に関連付けられたメタデータEV ポリシー識別子を蓄積することにより、 EV証明書を発行することが承認されたルートCA を識別します >>18

歴史

[29] 705285 - EV evaluation breaks if "2.23.140.1.1" is present and the root is not enabled for it - chromium - Monorail () <https://bugs.chromium.org/p/chromium/issues/detail?id=705285>