新たなBaseline Requirementsの策定

2020年に発足したS/MIME用証明書の S/MIME Certificate Working Group(以下、SMCWG)の目的はS/MIME Baseline Requirements(以下、SBR)を策定することにあります。同様のWGであるSSLサーバ証明書、コードサイニング証明書と同じような形で議論が進んでいきました。

SBRについては、Ballotの確認が2022年11月2日から2023年1月1日までとなり、2023年9月より施行される見込みです。

SBRが実施されると、一定のセキュリティ基準や運用基準が生まれるため、利用者の信頼性が得られるというメリットがあります。弊社もSBRの要件に未達の項目については、施行日までに完了するべく、改修を進めていくことになります。

また、SBRとは別に、アプリケーションが独自に行っていたルート証明書搭載要件がMozillaルートポリシー、Google Gmail、Appleには存在していました。これらの対象となるベンダーもSBR加入メンバーのため、独自のルート証明書搭載要件が、今後SBRに集約されれば、ポリシー変更による改修の頻度も減ることが期待できます。

S/MIME Baseline Requirementsの内容

今回、SBRによって、3つのポリシー(Legacy、Multipurpose、Strict)と4つの証明書プロファイル(mailbox-validated、organization-validated、sponsor-validated profile、individual-validated)が規定されました。合計すると12種類の証明書が誕生する見込みです。

Legacy

SBRの実施後も既存のS/MIME用証明書の監査が可能となります。(Subject DN属性、extKeyUsage、および他のオプション)。Legacyは、SBRにおいての将来的には非推奨となる予定です。

Multipurpose

より厳格なポリシーであるStrictに沿っていますが、拡張キー使用法や、オプション扱いとしている項目があり、証明書の複数用途での利用ケースを想定したものとなっています。

Strict

S/MIMEの使用に特化するポリシーです。 「extKeyUsage」を「id-kp-emailProtection」に限定し、「Subject DN属性」およびその他の拡張機能をより厳格に使用します。

3つのポリシーの具体的な違いは以下の通りです。

Validate

legacy multi strict
1095 825

cRLDistributionPoints

legacy multi strict
URIスキーム HTTP、LDAP、FTP HTTPのみ

id-ad-ocsp

legacy multi strict
URIスキーム HTTP、LDAP、FTP HTTPのみ

id-ad-caIssuers

legacy multi strict
URIスキーム HTTP、LDAP、FTP HTTPのみ

keyUsage(rsaencryption)

legacy multi strict
digitalSignature、nonRepudiation、
keyEncipherment、dataEncipherment
digitalSignature、nonRepudiation、keyEncipherment

keyUsage(id-ecPublickey)

legacy multi strict
digitalSignature、nonRepudiation、
keyagreement、encipheronly、decipheronly、keyEncipherment、dataEncipherment
digitalSignature、nonRepudiation、keyAgreement、encipherOnly、decipherOnly

extKeyUsage

legacy multi strict
id-kp-emailProtection以外も可
(server、code、time、anyは不可)
id-kp-emailProtectionのみ

subjectDirectoryAttributes

legacy multi strict
有り。クリティカルはすべきでない 禁止

サブジェクトのタイプによって4つの証明書プロファイルに区別されます。

mailbox-validated

emailアドレスもしくは、または追加でシリアル番号

organization-validated

法人のみ

sponsor-validated

自然人と組織(法人)との組み合わせ

individual-validated

自然人のみ

グローバルサインでの該当プロダクト

既存のグローバルサインのプロダクトに当てはめると以下の通りです。

mailbox-validated

S/MIME用証明書(テスト用)

organization-validated

S/MIME用証明書(部門名用/法人名用)

sponsor-validated

S/MIME用証明書(企業内個人名用)
マネージドPKI Lite

弊社では証明書の有効期間が1095日で、複数のextKeyUsage を許可しているLegacyポリシーをベースに既存のプロダクトを改修していきます。Multipurpose、Strictに関しても市場状況の動向を見つつ、展開していく予定となっております。

トピック関連記事

#

2017年02月01日

パスワード別送の危険性と「電子証明書」の必要性

#

2019年11月26日

情報セキュリティの課題を解決する公開鍵暗号方式

#

2017年10月24日

サイバー犯罪者から電子メールの安全を確保する方法

この記事を書きました

杉野 充洋

杉野 充洋
所属:GMOグローバルサイン プロダクトマーケティング部