S/MIME用証明書のBaseline Requirementsについて

メールセキュリティ

2023年02月28日 2023年04月28日

新たなBaseline Requirementsの策定
S/MIME Baseline Requirementsの内容
グローバルサインでの該当プロダクト

新たなBaseline Requirementsの策定

2020年に発足したS/MIME用証明書の S/MIME Certificate Working Group（以下、SMCWG）の目的はS/MIME Baseline Requirements（以下、SBR）を策定することにあります。同様のWGであるSSLサーバ証明書、コードサイニング証明書と同じような形で議論が進んでいきました。

SBRについては、Ballotの確認が2022年11月2日から2023年1月1日までとなり、2023年9月より施行される見込みです。

SBRが実施されると、一定のセキュリティ基準や運用基準が生まれるため、利用者の信頼性が得られるというメリットがあります。弊社もSBRの要件に未達の項目については、施行日までに完了するべく、改修を進めていくことになります。

また、SBRとは別に、アプリケーションが独自に行っていたルート証明書搭載要件がMozillaルートポリシー、Google Gmail、Appleには存在していました。これらの対象となるベンダーもSBR加入メンバーのため、独自のルート証明書搭載要件が、今後SBRに集約されれば、ポリシー変更による改修の頻度も減ることが期待できます。

S/MIME Baseline Requirementsの内容

今回、SBRによって、3つのポリシー（Legacy、Multipurpose、Strict）と4つの証明書プロファイル（mailbox-validated、organization-validated、sponsor-validated profile、individual-validated）が規定されました。合計すると12種類の証明書が誕生する見込みです。

Legacy

SBRの実施後も既存のS/MIME用証明書の監査が可能となります。（Subject DN属性、extKeyUsage、および他のオプション）。Legacyは、SBRにおいての将来的には非推奨となる予定です。

Multipurpose

より厳格なポリシーであるStrictに沿っていますが、拡張キー使用法や、オプション扱いとしている項目があり、証明書の複数用途での利用ケースを想定したものとなっています。

Strict

S/MIMEの使用に特化するポリシーです。「extKeyUsage」を「id-kp-emailProtection」に限定し、「Subject DN属性」およびその他の拡張機能をより厳格に使用します。

3つのポリシーの具体的な違いは以下の通りです。

Validate

legacy	multi	strict
1095	825

cRLDistributionPoints

legacy	multi	strict
URIスキーム HTTP、LDAP、FTP	HTTPのみ

id-ad-ocsp

legacy	multi	strict
URIスキーム HTTP、LDAP、FTP	HTTPのみ

id-ad-caIssuers

legacy	multi	strict
URIスキーム HTTP、LDAP、FTP	HTTPのみ

keyUsage（rsaencryption）

legacy	multi	strict
digitalSignature、nonRepudiation、 keyEncipherment、dataEncipherment		digitalSignature、nonRepudiation、keyEncipherment

keyUsage（id-ecPublickey）

legacy	multi	strict
digitalSignature、nonRepudiation、 keyagreement、encipheronly、decipheronly、keyEncipherment、dataEncipherment		digitalSignature、nonRepudiation、keyAgreement、encipherOnly、decipherOnly