netscape certificate type

netscape certificate type

[5] Netscape Certificate Extensions は、、 かつてSSL証明書で使われていた証明書拡張です。

[6] 現在でも実装が対応していることがありますが、 実際に使われている事例はほとんどありません。

[1] Netscape Certificate Extensions Specification ( 版) <http://web.archive.org/web/19970727173508/http://home.netscape.com/eng/security/cert-exts.html>

netscape-cert-type:

The value is a bit-string, where the individual bit positions are defined as:

bit-0 SSL-client - this cert is certified for SSL client authentication use

bit-1 SSL-server - this cert is certified for SSL server authentication use

bit-5 SSL-CA - this cert is certified for issuing certs for SSL use

[2] Netscape Certificate Type Description (Dr Stephen Henson 著, 版) <http://www.drh-consultancy.demon.co.uk/nscertype.html>

[3] Constants for Netscape Extensions (Windows) ( 版) <https://msdn.microsoft.com/en-us/library/windows/desktop/aa378149(v=vs.85).aspx>

[4] X.509電子証明書の互換性 ( 版) <https://www.ipa.go.jp/security/fy10/contents/over-all/02/25.html>

netscape-cert-type は証明書の利用を制限するために設けられておりビット列により 0: SSL クライアント, 1: SSL サーバ, 2: S/MIME クライアント, 3: オブジェクトサイン, 4: 予約済, 5: SSL 認証局, 6: S/MIME 認証局, 7: オブジェクトサイン認証局 という定義がされている。

この netscape-cert-type 拡張は extKeyUsage や basicConstraints 拡張に取って変わられているが Navigator 3.x では必須となっている。

この拡張が存在する場合は指定用途以外の利用は制限される。また、この拡張が存在しない場合でもオブジェクトサインとしての利用は制限される。

認証局の証明書としての利用を目的で付けられる拡張としては netscape-cert-type と basicConstraints 拡張の2つが存在することになるため、次のように定められている。この2つのうち片方のみ組み込まれている場合には、その拡張型どおりに動作する。仮に2つの拡張型ともに存在しない場合には、認証局の証明書として利用しない。

また2つとも含まれていた場合には、2つとも解析してどちらかに認証局の表示があれば認証局証明書として利用する。