certification authority

CA (PKI)

[1] CA は、証明書の発行元です。

仕様書

分類

Web 用 CA

[13] Web証明書を発行する CA は、 CA/Browser ForumBR に従うのが普通です。

[14] BR に従わないらしき CA には次のものがあります。

[8] 他にオレオレ証明書など個人や組織の内部に限定されて運用される CA があります。

CA 証明書

[17] CA証明書を特にCA証明書 (CA certificate) といいます。

[19] PKIX におけるCA証明書RFC 5280 で規定されています。 CA証明書には、次の種別があります >>18

[20] ルートCA証明書ルート証明書といいます。

[21] 中間証明書証明書鎖に入れてやり取りされます。

実例

[16] CA

文脈

[64] TLS CertificateRequest メッセージcertificate_authorities には、サーバーが受け付けるCADNを指定できます。

MIME 型

[7] MIME型として application/x-x509-ca-cert が使われることがあります。

メモ

[2] Network Security - CAB Forum ( 版) https://cabforum.org/network-security/

[3] CA Practices - CAB Forum ( 版) https://cabforum.org/ca-practices/

In addition to the Extended Validation Guidelines and the Baseline Requirements, the CA / Browser Forum has developed statements about the practices of CAs

[4] CA:Problematic Practices - MozillaWiki ( 版) https://wiki.mozilla.org/CA:Problematic_Practices

[5] CA:Recommended Practices - MozillaWiki ( 版) https://wiki.mozilla.org/CA:Recommended_Practices

[6] CA:Overview - MozillaWiki ( 版) https://wiki.mozilla.org/CA:Overview

[11] ( 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=10

Certification Authority: An organization that is responsible for the creation, issuance, revocation, and

management of Certificates. The term applies equally to both Roots CAs and Subordinate CAs.

[12] ( 版) https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=46

The CA SHALL host test Web pages that allow Application Software Suppliers to test their software with

Subscriber Certificates that chain up to each publicly trusted Root Certificate. At a minimum, the CA SHALL host

separate Web pages using Subscriber Certificates that are (i) valid, (ii) revoked, and (iii) expired.

[15] ( 版) https://cabforum.org/wp-content/uploads/EV-V1_5_2Libre.pdf#page=41

The CA MUST host test Web pages that allow Application Software Suppliers to test their software with EV

Certificates that chain up to each EV Root Certificate. At a minimum, the CA MUST host separate Web pages using

certificates that are (i) valid (ii) revoked and (iii) expired.

[9] Symantec: Draft Proposal - Google グループ () https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/IZYmm8zsSKU

[10] Mozilla CA Certificate Store — Mozilla () https://www.mozilla.org/en-US/about/governance/policies/security-group/certs/