/
43.txt
71 lines (53 loc) · 4.28 KB
/
43.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
[7] [DFN[[RUBYB[証明書ポリシー]@en[certificate policies]]]]拡張は、
[[証明書]]の発行方針について記述する[[証明書拡張]]です。
* 仕様書
[REFS[
- [1] '''[CITE@en[RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-02-22 15:44:10 +09:00]] 版) <http://tools.ietf.org/html/rfc5280#section-4.2.1.4>'''
- [3] [CITE[[[BR]]]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=19>
]REFS]
* 意味
[8] [[末端実体証明書]]においては、当該[[証明書]]の[[発行]]時に従ったポリシーや、
当該[[証明書]]を利用できる目的を示します。 [SRC[>>1]]
[9] [[CA証明書]]においては、当該[[証明書]]を含む [[certification path]]
に対してポリシーの集合を制限するものです [SRC[>>1]]。
[10] 特定のポリシーに関する要件を持つ[[応用]]は、受け入れるポリシーの一覧を保持し、
[[証明書]]に示されたポリシーの [[OID]] と比較することが期待されています。
本拡張が[RUBYB[重要]@en[critical]]な [[certification path]] 検証ソフトウェアは本拡張を解釈できるか、または[[証明書]]を拒絶するかのいずれかとしなければ[['''なりません''']]。 [SRC[>>1]]
* OID
[2] [[CA]] が当該[[証明書]]を含む [[certification path]] について方針の集合を制限したくない場合には、
[CODE[anyPolicy]] = [CODE[{ 2 5 29 32 0 }]] を指定できます [SRC[>>1]]。
[4] [[BR]] に従う [[CA]] は、 [[BR]] により[RUBYB[検証]@en[verify]]した
[[Subject Identity Information]] を含ま''ない''、 [[BR]] に従った[[証明書]]において、
[CODE[{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) domain-validated(1)}]] = [CODE[2.23.140.1.2.1]]
を指定できます [SRC[>>3]]。
そのような[[証明書]]は、 [CODE[[[subject]]]] [[欄]]に
[CODE[[[organizationName]]]], [CODE[[[streetAddress]]]], [CODE[[[stateOrProvinceName]]]],
[CODE[[[portalCode]]]] を含んでは[['''なりません''']] [SRC[>>3]]。
;; すなわち、 [[DV]] [[証明書]]を表します。
[5] [[BR]] に従う [[CA]] は、[[BR]] により[RUBYB[検証]@en[verify]]した
[[Subject Identity Information]] を含む [[BR]] に従った[[証明書]]において、
[CODE[{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) subject-identity-validated(2)}]] = [CODE[2.23.140.1.2.2]]
を指定できます [SRC[>>3]]。
そのような[[証明書]]は、 [CODE[[[subject]]]] [[欄]]に
[CODE[[[organizationName]]]], [CODE[[[localityName]]]], [CODE[[[stateOrProvinceName]]]] (あれば),
[CODE[[[countryName]]]] を含まなければ[['''なりません''']] [SRC[>>3]]。
;; すなわち、 [[OV]] [[証明書]]を表します。
;; [6] [[BR]] はこの2つの [[OID]] を規定していますが、どちらも必須とはなっていません。
[[BR]] に従った[[証明書]]であってもこのどちらも含まないことがあります。
* DV、OV、EV
[13] [[Web]] で用いられる[[証明書]]は、 [[CA]] による検証の度合いにより
[[OV]]、[[DV]]、[[EV]] の3段階に分類されます。
[14] [[BR]] に従い [[Subject Identity Information]] を含まない[[証明書]]を [[DV]]、
[[Subject Identity Information]] を含む[[証明書]]を [[OV]] と呼ぶと考えられます。
また [[EV Guidelines]] に従った[[証明書]]を [[EV]] と呼びます。
;; [15] [[DV]] や [[OV]] といった用語は基本用語として広く使われていますが、
[[BR]] その他の文書で明確に定義されたものではないようです ([[BR]] 内では言及もされていません)。
歴史的に [[DV]] と [[OV]] の区分は曖昧なようです。
[REFS[
- [11] [CITE@en[Telling DV and OV Apart]]
([TIME[2015-04-04 21:11:42 +09:00]] 版)
<https://www.globalsign.com/en/ssl-information-center/telling-dv-and-ov-certificates-apart/>
- [12] [CITE@en-US[How to tell DV and OV certificates apart | UNMITIGATED RISK]]
([TIME[2015-04-04 21:11:53 +09:00]] 版)
<http://unmitigatedrisk.com/?p=203>
]REFS]