对于公共信任证书来说,2023年是变革的一年——讨论缩短有效期、批准新要求以及在获取经过验证的标记证书方面取得重大进展。让我们回顾一下2023年发生的事情,并对2024年会发生什么做出一些预测。

回顾2023年——

TLS证书

·Google Chrome团队在TL生态系统中非常活跃。他们开始推广PKI基础设施的现代化,包括将TLS证书有效期缩短至90天。

·CA/浏览器论坛(CABF)发布了更新TL基准要求(BR)的投票表:

·SC61–新的证书吊销列表(CRL)项必须具有吊销原因代码

·SC62–更新证书配置文件,以满足TL证书配置文件的要求和限制
·SC63–使OCSP可选,要求CRL,激励自动化,并最终批准不使用CRL或OCSP查看证书状态的短期证书

·IETF发布RFC9345来支持TL和DTLS的委派凭据。委派凭据机制允许服务器操作员使用其服务器的私钥来颁发委派凭据。新凭据将有不同的私钥,并且有效期不超过七天。由于委派凭据仅在短时间内有效,因此不需要检查状态协议,即不需要CRL或OCSP响应。

S/MIME证书


··CABF于2022年11月批准了S/MIME基准要求,为公共信任CA规定了S/MIME标准。

·S/MIME BR已于2023年9月1日生效。ETSI还发布了符合有关电子邮件消息中电子签名的欧盟法规并支持S/MIME BR的标准ETSI TS119411-6。

这允许符合S/MIME BR的欧盟CA使用ETSI审核标准进行审核。苹果和Mozilla政策也要求S/MIME BR。

·DigiCert提供了一个S/MIME证书工厂,其中包含符合S/MIMEBR的证书样本。他们随后推出了pkilint工具,该工具可用于对S/MIME证书进行linting,以便在证书不符合S/MIME BR时发现错误。

代码签名证书


·CABF开始要求从2023年6月1日起在加密设备中生成和管理代码签名证书密钥。其目标是通过取消在软件中生成密钥对的选项来减少密钥泄露。

·CA还必须验证密钥是否在加密设备中生成,其中包括服务器HSM、USB令牌和云HSM。

·已发布投票表CSC68来更新代码签名证书吊销要求。其目的是在密钥泄露或用户签署可疑代码时收紧程序。如果CA发现发生上述任一情况,则必须在24小时内吊销证书。之后,CA可能会将吊销时间追溯到密钥泄露或用户签署可疑代码之前。这会导致在吊销日期之后生成的签名失败。

标记证书(VMC)


·政府组织现在可以为其发出的电子邮件获取经过验证的标记证书(VMC)。这等同于向已注册商标的公司颁发的VMC。Google还通过添加蓝色复选标记来加强VMC,该标记主动表明电子邮件的发件人已验证其拥有域和在头像槽中显示的徽标

·VMCR1.5已发布,以创建通用标记证书。这将允许证书申请人提交经过修改的已注册标记或先前的使用标记以添加到证书中。经过修改的已注册使用标记将允许拥有已注册标记的申请人进行更改,例如移除/移动字词或删除标记的一部分。这可能允许申请人修改标记使其适合不同的尺寸,或者可能对标记进行季节性更改。

对于先前使用的标记,申请人必须在至少12个月中连续显示该标记,并且必须在存档网页源中找到该标记。

·通用标记证书测试计划刚刚于2023年12月启动。请注意:我们不确定Google和Apple是否会完全支持通用标记,并且电子邮件将不会获得蓝色复选标记。

Mozilla设定根CA生命周期


·为了支持密码敏捷性,Mozilla称其能够以合理的成本高效地替换密码原语、算法和协议,并且对操作的影响有限,Mozilla为受信根证书设定了生命周期时间表。对于现有根证书,有一个迁移计划,但持续的时间表将从密钥生成之日起算:TL根证书将在15年后删除,而S/MIME根证书将在18年后删除。此生命周期将允许CA有时间嵌入根证书并使用至少10年。S/MIME根证书具有更长的生命周期,因为S/MIME证书的颁发有效期更长。

展望2024年——

以下是预计在2024年发生的一些变化。

TLS证书


·CABFTLS验证子委员会正在努力提高多视角颁发证实,以确保在验证域名前,由主要网络视角所做出的判定的正确性在颁发TLS证书之前。多视角确定将同时应用于域名和证书颁发机构授权(CAA)记录合规性。我们预计多视角将在2025年迁移至“必须”要求。

代码签名证书


·CABF代码签名工作组正在努力更新签名服务和高风险证书应用程序。签名服务将帮助证书订阅者合规,并确保其密钥对是在密码模块中生成的、私钥受到保护,并且只有订阅者才能激活私钥进行签名。高风险证书应用程序已更改,因为现在必须在硬件中生成所有密钥对,这减轻了CSBR中解决的一些风险。

·密钥验证是一种让CA验证私钥是在密码模块中生成的的方法。由于没有密钥验证的标准,因此这很难实现。IETF的成员正在通过生成CSR验证和基于X.509的验证证据的RFC来解决这个问题。CSR验证可以使用现有的密码模块实现,并且RFC可能在2024年发布。基于X.509的验证的定义将需要更长的时间,并且需要在新的密码模块中实现;因此,我们预计在很多年内都无法从这项工作中受益。

S/MIME证书


·IETF发布了RFC9485,该RFC支持S/MIME证书的证书授权机构授权(CAA)。这将支持域名所有者为其授权CA提供CAArecord“issuemail”。CABFS/MIME工作组正在制定CAA更新,并将于2024年末作为建议提出,2025年作为“必须”要求提出。

( 本文来源:Entrust)