当前位置:安全资讯 >> 全文

Mozilla 更新证书颁发机构的根存储策略

发布时间:2018-7-4 11:14 标签: 证书颁发机构,CA,Mozilla
分享到 0

本周一,Mozilla 宣布版本 2.6 更新证书颁发机构的根存储策略。

根存储策略管理受火狐、Thunderbird 和其它和 Mozilla 相关软件信任的证书颁发机构。根存储策略的最新版本经 Mozilla 社区历时数月的讨论后,已于71日生效。

这次更新的根存储策略版本包括二十多种变化,Mozilla 公司证书颁发机构计划经理 Wayne Thayer 已在博客文章中总结了其中的重要更新内容。

根存储策略版本2.6 要求证书颁发机构清楚地在证书策略和证书实践陈述中说明邮件地址验证方法。证书策略和证书实践陈述必须清楚地说明 IP 地址验证方法,而目前这一内容在某种情况下被禁止。

证书颁发机构需要定期对根证书和中间证书开展某些审计以继续停留在根存储中。Mozilla 目前要求审计人员提供用英语写成的报告。

这一新策略还指出,从201911日起,将要求证书颁发机构为 S/MIME SSL 证书创建单独的中间证书。

Thayer 解释称,“新办法的中间证书将需要受某个不包含 anyPolicy serverAuth 以及 emailProtection EKU 扩展的限制。不符合该要求的在2019年以前发布的中间证书或可继续用于发布新的端点实体凭证。”

另外一个要求是,根证书必须在创建之初符合 Mozilla 根存储策略。Thayer 指出,“这意味着早于2014年的现有根如未在2013年后接受 BR 审计,那么则无法包含在 Mozilla 的计划中。根据该策略的要求,违反 BR 的根也被排除在 Mozilla 的根存储范围之外。”

Mozilla 非常重视数字证书管理。去年,数十起事件发生后,证书颁发机构WoSign及其附属组织 StartCom 受到严厉处罚。赛门铁克也因和合作伙伴错误颁发 TLS 证书受到惩罚,而且 DigiCert 收购赛门铁克证书颁发业务一事也受影响。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/mozilla-announces-root-store-policy-update
参与讨论,请先 登录 | 注册

用户评论