/
998.txt
79 lines (59 loc) · 3.76 KB
/
998.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
[11] [DFN[[[Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates]]]] ([DFN[[[Baseline Requirements]]]], [DFN[[[BR]]]])
は、[[インターネット]]に公開された [[Webサーバー]]で用いられる[[サーバー証明書]]を発行する
[[CA]] に対する要件を定めた [[CA/Browser Forum]] の文書です。
* 仕様書
[REFS[
- [8] [CITE[CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, v.1.2.3]] ([TIME[2014-11-01 05:54:38 +09:00]] 版) <https://cabforum.org/wp-content/uploads/BRv1.2.3.pdf>
]REFS]
* 適用対象
[9] [[インターネット]]によりアクセスできる[[サーバー]]の[[認証]]のために使う[[証明書]]が対象です [SRC[>>8]]。
[10] [[企業]]内部でのみ用いられ、[[ルート証明書]]を[[応用ソフトウェア供給者]]が配布することがない[[証明書]]は対象外です [SRC[>>8]]。
* 要件
[12] [[BR]] は[[証明書]]の内容や発行時の審査、発行後の管理など [[CA]]
の一連の業務における要件を規定しています。 [[BR]] が規定する要件には次の事項に関するものが含まれます。
[FIG(short list)[
- [CODE[[[CN]]]]
- [[SAN]]
- [CODE[[[dNSName]]]]
- [CODE[[[iPAddress]]]]
- [[ルートCA]]
- [[下位CA]]
- [[ワイルドカード証明書]]
- [[内部名]]
- [[予約済みIPアドレス]]
]FIG]
[13] [[EV証明書]]については別の文書があります。
* メモ
[1] [CITE@en-US[CA/B Forum Releases Code Signing Baseline Requirements]]
([TIME[2015-04-02 11:45:56 +09:00]] 版)
<https://cabforum.org/2015/02/05/cab-forum-releases-code-signing-baseline-requirements-final-draft-public-exposure/>
[FIG(quote)[
[FIGCAPTION[
[2] [CITE@en-US[About the Baseline Requirements - CAB Forum]]
([TIME[2015-04-02 11:49:08 +09:00]] 版)
<https://cabforum.org/about-the-baseline-requirements/>
]FIGCAPTION]
> The Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates describe a subset of the requirements that a certification authority must meet in order to issue digital certificates for SSL/TLS servers to be publicly trusted by browsers.
]FIG]
[14] [CITE@en-US[Baseline Requirements Documents | CAB Forum]]
( ([TIME[2014-06-06 11:39:54 +09:00]] 版))
<https://cabforum.org/baseline-requirements-documents/>
[3] [CITE@en-US[Baseline Requirements - CAB Forum]]
([TIME[2015-04-02 11:51:14 +09:00]] 版)
<https://cabforum.org/baseline-requirements/>
[5] [CITE@en-US[Certificate Contents for Baseline SSL - CAB Forum]]
([TIME[2015-04-02 11:56:24 +09:00]] 版)
<https://cabforum.org/baseline-requirements-certificate-contents/>
[6] [CITE@en-US[CA/Browser Forum Approves Baseline Requirements for SSL/TLS Certificates - CAB Forum]]
([TIME[2015-04-02 11:57:18 +09:00]] 版)
<https://cabforum.org/2011/12/14/cabrowser-forum-approves-baseline-requirements-for-ssltls-certificates/>
[FIG(quote)[
[FIGCAPTION[
[7] [CITE@ja[JVNVU#92002857: 複数の認証局においてメールアドレスのみに基づいて証明書を発行している問題]]
([TIME[2015-03-31 11:16:03 +09:00]] 版)
<https://jvn.jp/vu/JVNVU92002857/index.html>
]FIGCAPTION]
>
> Vendor Information for VU#591120 で "Affected" と記載されているのは、メールアドレスをもって申請者がドメインの所有者であることを確認する「ドメイン認証型 ("domain-authenticated")」の SSL 証明書を発行している認証局です。
> CA/Browser Forum Baseline Requirements Documents のセクション 11.1.1 では認証に使用すべきメールアドレスを規定していますが、CERT/CC としてはメールアドレスのみでの認証では十分でないと考えています。
]FIG]