/
43.txt
132 lines (101 loc) · 8.37 KB
/
43.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
[7] [DFN[[RUBYB[証明書ポリシー]@en[certificate policies]]]]拡張は、
[[証明書]]の発行方針について記述する[[証明書拡張]]です。
* 仕様書
[REFS[
- [1] '''[CITE@en[RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-02-22 15:44:10 +09:00]] 版) <https://tools.ietf.org/html/rfc5280#section-4.2.1.4>'''
- [26] [CITE@en[RFC 6818 - Updates to the Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile]] ([TIME[2015-03-24 03:47:50 +09:00]] 版) <https://tools.ietf.org/html/rfc6818#section-3>
- [3] [CITE[[[BR]]]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=19>
- [27] [CITE[[[BR]]]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf#page=43>
- [18] ([TIME[2014-11-01 05:09:16 +09:00]] 版) <https://cabforum.org/wp-content/uploads/EV-V1_5_2Libre.pdf#page=17>
]REFS]
* 意味
[8] [[末端実体証明書]]においては、当該[[証明書]]の[[発行]]時に従ったポリシーや、
当該[[証明書]]を利用できる目的を示します。 [SRC[>>1]]
[9] [[CA証明書]]においては、当該[[証明書]]を含む [[certification path]]
に対してポリシーの集合を制限するものです [SRC[>>1]]。
[10] 特定のポリシーに関する要件を持つ[[応用]]は、受け入れるポリシーの一覧を保持し、
[[証明書]]に示されたポリシーの [[OID]] と比較することが期待されています。
本拡張が[RUBYB[重要]@en[critical]]な [[certification path]] 検証ソフトウェアは本拡張を解釈できるか、または[[証明書]]を拒絶するかのいずれかとしなければ[['''なりません''']]。 [SRC[>>1]]
* 文脈
[16] [[BR]] に従う[[ルートCA証明書]]は本拡張を含む[['''べきではありません''']] [SRC[>>3, >>27]]。
[28] [[BR]] に従う[[下位CA証明書]]や [[Subscriber Certificate]] では本拡張を含めなければ[['''なりません''']] [SRC[>>27]]。
* OID
[2] [[CA]] が当該[[証明書]]を含む [[certification path]] について方針の集合を制限したくない場合には、
[CODE[anyPolicy]] = [CODE[{ 2 5 29 32 0 }]] を指定できます [SRC[>>1]]。
[4] [[BR]] に従う [[CA]] は、 [[BR]] により[RUBYB[検証]@en[verify]]した
[[Subject Identity Information]] を含ま''ない''、 [[BR]] に従った[[証明書]]において、
[CODE[{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) domain-validated(1)}]] = [CODE[2.23.140.1.2.1]]
を指定できます [SRC[>>3]]。
そのような[[証明書]]は、 [CODE[[[subject]]]] [[欄]]に
[CODE[[[organizationName]]]], [CODE[[[streetAddress]]]], [CODE[[[stateOrProvinceName]]]],
[CODE[[[portalCode]]]] を含んでは[['''なりません''']] [SRC[>>3]]。
;; すなわち、 [[DV]] [[証明書]]を表します。
[5] [[BR]] に従う [[CA]] は、[[BR]] により[RUBYB[検証]@en[verify]]した
[[Subject Identity Information]] を含む [[BR]] に従った[[証明書]]において、
[CODE[{joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1) baselinerequirements(2) subject-identity-validated(2)}]] = [CODE[2.23.140.1.2.2]]
を指定できます [SRC[>>3]]。
そのような[[証明書]]は、 [CODE[[[subject]]]] [[欄]]に
[CODE[[[organizationName]]]], [CODE[[[localityName]]]], [CODE[[[stateOrProvinceName]]]] (あれば),
[CODE[[[countryName]]]] を含まなければ[['''なりません''']] [SRC[>>3]]。
;; すなわち、 [[OV]] [[証明書]]を表します。
;; [6] [[BR]] はこの2つの [[OID]] を規定していますが、どちらも必須とはなっていません。
[[BR]] に従った[[証明書]]であってもこのどちらも含まないことがあります。
[FIG(list)[ [30] [[証明書ポリシー]]の [[OID]]
- [CODE[2.5.29.32.0]] ([CODE[anyPolicy]])
- [CODE[2.23.140.1.2.1]] ([[DV]])
- [CODE[2.23.140.1.2.2]] ([[OV]])
- [CODE[1.3.6.1.4.1.6449.1.2.2.26]]
- [CODE[1.3.6.1.4.1.11129.2.5.3]]
- [CODE[2.16.840.1.114412.2.1]]
- [CODE[2.16.840.1.114414.1.7.23.1]]
]FIG]
* DV、OV、EV
[13] [[Web]] で用いられる[[証明書]]は、 [[CA]] による検証の度合いにより
[[OV]]、[[DV]]、[[EV]] の3段階に分類されます。
[14] [[BR]] に従い [[Subject Identity Information]] を含まない[[証明書]]を [[DV]]、
[[Subject Identity Information]] を含む[[証明書]]を [[OV]] と呼ぶと考えられます。
また [[EV Guidelines]] に従った[[証明書]]を [[EV]] と呼びます。
;; [15] [[DV]] や [[OV]] といった用語は基本用語として広く使われていますが、
[[BR]] その他の文書で明確に定義されたものではないようです。
歴史的に [[DV]] と [[OV]] の区分は曖昧なようです。
[REFS[
- [11] [CITE@en[Telling DV and OV Apart]]
([TIME[2015-04-04 21:11:42 +09:00]] 版)
<https://www.globalsign.com/en/ssl-information-center/telling-dv-and-ov-certificates-apart/>
- [12] [CITE@en-US[How to tell DV and OV certificates apart | UNMITIGATED RISK]]
([TIME[2015-04-04 21:11:53 +09:00]] 版)
<http://unmitigatedrisk.com/?p=203>
- [17] [CITE['''['''cabfpub''']''' OIDs for DV and OV]] ([TIME[2014-10-22 20:02:35 +09:00]] 版) <https://cabforum.org/pipermail/public/2014-October/004065.html>
]REFS]
[19] [[CA]] が [[Subscriber]] に[[発行]]する[[EV証明書]]は、
当該 [[CA]] が定義する次のようなポリシー識別子を[[証明書]]の[[証明書ポリシー]]拡張に含めなければ[['''なりません''']] [SRC[>>18]]。
[FIG(list)[
- [20] どの [[CA policy statement]] が当該[[証明書]]に関係するかを示す
- [21] 当該 [[CA]] が [[EV Guidelines]] を支持し適合することを表明する
- [22] [[Application Software Supplier]] との事前同意により当該[[証明書]]を [[EV証明書]]であると示す
]FIG]
;; [[EV OID]] 参照。
[24] [[issuing CA]] の管理下にない [[EV]] [[下位CA]]が[[発行]]する[[証明書]]は、
[[issuing CA]] によって定義される、当該[[下位CA]]が実装する [[EV Policies]]
を明示的に識別する1つ以上のポリシー識別子を含めなければ[['''なりません''']] [SRC[>>18]]。
[25] [[ルートCA]]の管理下にある [[EV]] [[下位CA]]に[[発行]]する[[証明書]]は、
[CODE[[[anyPolicy]]]] を含めても構いません [SRC[>>18]]。
[23] [[Application Software Supplier]] は、[[ルートCA証明書]]に関連付けられた[[メタデータ]]に
[[EV]] ポリシー識別子を蓄積することにより、 [[EV証明書]]を発行することが承認された[[ルートCA]]
を識別します [SRC[>>18]]。
[29] [CITE@en[705285 - EV evaluation breaks if "2.23.140.1.1" is present and the root is not enabled for it - chromium - Monorail]]
([TIME[2017-03-28 10:57:44 +09:00]])
<https://bugs.chromium.org/p/chromium/issues/detail?id=705285>
[FIG(quote)[
[FIGCAPTION[
[31] [CITE@ja[グーグルChromeに証明書関連のバグ、シマンテックが指摘 | 日経 xTECH(クロステック)]]
([[日経 xTECH(クロステック)]]著, [TIME[2018-08-26 17:30:59 +09:00]])
<https://tech.nikkeibp.co.jp/it/atcl/news/17/032800954/>
]FIGCAPTION]
> 影響を受けるのはバージョン57(Chrome 57)のみ。グーグルもこのバグを報告している。
> [SNIP[]]
> ところが、使用しているEV SSL証明書によっては、組織名が表示されず「保護された通信」という文言のみが表示されるという。つまり、EV SSL証明書以外の証明書を使っているWebサイトと同じになる。シマンテックが発行したEV SSL証明書でも、このような表示になる場合があるとしている。
> [SNIP[]]
> シマンテックの情報によると、今回のバグは、証明書ポリシー(OID 2.5.29.32)が、「ポリシーID#1(2.23.140.1.1)、ポリシーID#2(2.16.840.1.113733.1.7.23.6)」の順序で記載されていると発生するという。
> シマンテックはChrome 57のバグに対処するために、3月24日以降に発行するEV SSL証明書では、証明書ポリシーの記載順序を「ポリシーID#2(2.16.840.1.113733.1.7.23.6)、ポリシーID#1(2.23.140.1.1)」に変更した。
]FIG]