新たなBaseline Requirementsの策定
2020年に発足したS/MIME用証明書の S/MIME Certificate Working Group(以下、SMCWG)の目的はS/MIME Baseline Requirements(以下、SBR)を策定することにあります。同様のWGであるSSLサーバ証明書、コードサイニング証明書と同じような形で議論が進んでいきました。
SBRについては、Ballotの確認が2022年11月2日から2023年1月1日までとなり、2023年9月より施行される見込みです。
SBRが実施されると、一定のセキュリティ基準や運用基準が生まれるため、利用者の信頼性が得られるというメリットがあります。弊社もSBRの要件に未達の項目については、施行日までに完了するべく、改修を進めていくことになります。
また、SBRとは別に、アプリケーションが独自に行っていたルート証明書搭載要件がMozillaルートポリシー、Google Gmail、Appleには存在していました。これらの対象となるベンダーもSBR加入メンバーのため、独自のルート証明書搭載要件が、今後SBRに集約されれば、ポリシー変更による改修の頻度も減ることが期待できます。
S/MIME Baseline Requirementsの内容
今回、SBRによって、3つのポリシー(Legacy、Multipurpose、Strict)と4つの証明書プロファイル(mailbox-validated、organization-validated、sponsor-validated profile、individual-validated)が規定されました。合計すると12種類の証明書が誕生する見込みです。
Legacy
SBRの実施後も既存のS/MIME用証明書の監査が可能となります。(Subject DN属性、extKeyUsage、および他のオプション)。Legacyは、SBRにおいての将来的には非推奨となる予定です。
Multipurpose
より厳格なポリシーであるStrictに沿っていますが、拡張キー使用法や、オプション扱いとしている項目があり、証明書の複数用途での利用ケースを想定したものとなっています。
Strict
S/MIMEの使用に特化するポリシーです。 「extKeyUsage」を「id-kp-emailProtection」に限定し、「Subject DN属性」およびその他の拡張機能をより厳格に使用します。
3つのポリシーの具体的な違いは以下の通りです。
Validate
legacy | multi | strict |
---|---|---|
1095 | 825 |
cRLDistributionPoints
legacy | multi | strict |
---|---|---|
URIスキーム HTTP、LDAP、FTP | HTTPのみ |
id-ad-ocsp
legacy | multi | strict |
---|---|---|
URIスキーム HTTP、LDAP、FTP | HTTPのみ |
id-ad-caIssuers
legacy | multi | strict |
---|---|---|
URIスキーム HTTP、LDAP、FTP | HTTPのみ |
keyUsage(rsaencryption)
legacy | multi | strict |
---|---|---|
digitalSignature、nonRepudiation、 keyEncipherment、dataEncipherment |
digitalSignature、nonRepudiation、keyEncipherment |
keyUsage(id-ecPublickey)
legacy | multi | strict |
---|---|---|
digitalSignature、nonRepudiation、 keyagreement、encipheronly、decipheronly、keyEncipherment、dataEncipherment |
digitalSignature、nonRepudiation、keyAgreement、encipherOnly、decipherOnly |
extKeyUsage
legacy | multi | strict |
---|---|---|
id-kp-emailProtection以外も可 (server、code、time、anyは不可) |
id-kp-emailProtectionのみ |
subjectDirectoryAttributes
legacy | multi | strict |
---|---|---|
有り。クリティカルはすべきでない | 禁止 |
サブジェクトのタイプによって4つの証明書プロファイルに区別されます。
mailbox-validated
emailアドレスもしくは、または追加でシリアル番号
organization-validated
法人のみ
sponsor-validated
自然人と組織(法人)との組み合わせ
individual-validated
自然人のみ
グローバルサインでの該当プロダクト
既存のグローバルサインのプロダクトに当てはめると以下の通りです。
mailbox-validated
S/MIME用証明書(テスト用)
organization-validated
S/MIME用証明書(部門名用/法人名用)
sponsor-validated
S/MIME用証明書(企業内個人名用)
マネージドPKI Lite
弊社では証明書の有効期間が1095日で、複数のextKeyUsage を許可しているLegacyポリシーをベースに既存のプロダクトを改修していきます。Multipurpose、Strictに関しても市場状況の動向を見つつ、展開していく予定となっております。