Baseline Requirements
CA/Browser Forumにより、以下の規準が策定されている。
- TLSサーバー証明書(DV・OV・IV証明書)
- TLSサーバー証明書(EV証明書)
- コードサイニング証明書
- S/MIME証明書
- ネットワークセキュリティ
Baseline Requirementsの要件を満たすためにはWebtrust監査等の認定を取得することが要件になっている。
Baseline Requirements for TLS Server Certificates
PDF:https://cabforum.org/baseline-requirements-documents/
GitHub:https://github.com/cabforum/servercert
Ballot:https://cabforum.org/ballots/server-certificate-ballots/
更新頻度:2023年 年2回、2022年 年5回、2021年 年8回、2020年 年8回。
初版(Ver. 1.0):2011/11/22(2012/07/01 発効)
EV Guidelines for TLS Server Certificates
PDF:https://cabforum.org/extended-validation/
GitHub:https://github.com/cabforum/servercert
更新頻度:2023年 年0回、2022年 年2回、2021年 年4回、2020年 年4回。
初版(Ver. 1.0):2007/06/12 発効
Baseline Requirements for Code Signing
PDF:https://cabforum.org/baseline-requirements-code-signing/
GitHub:https://github.com/cabforum/code-signing
Ballot:https://cabforum.org/ballots/code-signing-ballots/
更新頻度:2023年 年3回、2022年 年4回、2021年 年6回、2020年 年2回。
初版(Ver. 1.2):2019/08/13
前身の規準:Minimum Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates (Code Signing Working Group) Version 1.1 (September 22, 2016)
Network Security Requirements
PDF:https://cabforum.org/network-security-requirements/
GitHub:https://github.com/cabforum/servercert
Ballot:https://cabforum.org/ballots/network-security-wg-ballots/
更新頻度:2023年 年0回、2022年 年0回、2021年 年2回。2020年 年2回。
初版(Ver. 1.0):2013/01/01
S/MIME Baseline Requirements (S/MIME BR)
GitHub:https://cabforum.org/smime-br/
GitHub:https://github.com/cabforum/smime
更新頻度:2023年 年3回
初版(Ver. 1.0):2023/09/01
Baseline Requirements(ベースライン要件)について
Baseline Requirements for the Issuance and Management of Publicly-Trusted TLS Server Certificates(パブリックなTLSサーバー証明書の発行および管理に関する基本要件)は、認証局が TLS サーバー用のデジタル証明書を発行し、ブラウザから公に信頼されるために満たすべき要件のサブセットを記述したものである。明示的に別段の定めがある場合を除き、要件は、要件の発効日以降に発生する事象にのみ適用される。
要件は、一般に信頼される証明書の発行と管理に関連するすべての問題を取り扱うものではなく、CA/Browser Forum は、オンラインセキュリティに対する既存の脅威と新たな脅威に対応するために、要件を更新することがある。
https://cabforum.org/about-the-baseline-requirements/ 翻訳
章立て
Baseline Requirements for TLS Server Certificates Version 2.0.2の章立ては、以下のとおり。
RFC3647 「4.Contents of a Set of Provisions」に準拠した章立てとなっている。
日本語訳
目次
1. はじめに
1.1 概要
1.2 文書名と識別情報
1.2.1 改訂
1.2.2 関連する日付
1.3 PKI 参加者
1.3.1 認証局
1.3.2 登録機関
1.3.3 加入者
1.3.4 依拠当事者
1.3.5 他の参加者
1.4 証明書の使用法
1.4.1 証明書の適切な使用
1.4.2 禁止されている証明書の使用
1.5 ポリシー管理
1.5.1 文書を管理する組織
1.5.2 連絡先担当者
1.5.3 ポリシーに対する CPS の適合性を判断する人
1.5.4 CPS 承認手順
1.6 定義と頭字語
1.6.1 定義
1.6.2 頭字語
1.6.3 参考文献
1.6.4 規約
2. 出版およびリポジトリの責任
2.1 リポジトリ
2.2 情報の公開
2.3 発行の時期または頻度
2.4 リポジトリのアクセス制御
3. 識別と認証
3.1 ネーミング
3.1.1 名前の種類
3.1.2 意味のある名前の必要性
3.1.3 加入者の匿名性または匿名性
3.1.4 さまざまな名前形式の解釈規則
3.1.5 名前の一意性
3.1.6 商標の認識、認証、および役割
3.2 初期の本人確認
3.2.1 秘密鍵の所有を証明する方法
3.2.2 組織とドメイン ID の認証
3.2.2.1 アイデンティティ
3.2.2.2 DBA/商号
3.2.2.3 国の確認
3.2.2.4 ドメインの認可または制御の検証
3.2.2.4.1 申請者をドメイン連絡先として検証する
3.2.2.4.2 ドメイン連絡先への電子メール、ファックス、SMS、または郵便
3.2.2.4.3 ドメイン連絡先との電話連絡
3.2.2.4.4 ドメイン連絡先への作成された電子メール
3.2.2.4.5 ドメイン認証文書
3.2.2.4.6 ウェブサイトへの合意に基づく変更
3.2.2.4.7 DNS の変更
3.2.2.4.8 IP アドレス
3.2.2.4.9 試験証明書
3.2.2.4.10 ランダム値を使用した TLS
3.2.2.4.11 その他の方法
3.2.2.4.12 申請者をドメイン連絡先として検証する
3.2.2.4.13 DNS CAA 連絡先への電子メール
3.2.2.4.14 DNS TXT 連絡先への電子メール
3.2.2.4.15 ドメイン連絡先との電話連絡
3.2.2.4.16 DNS TXT を使用した電話連絡先 電話連絡先の記録
3.2.2.4.17 DNS CAA との電話連絡先 電話連絡先
3.2.2.4.18 ウェブサイト v2 への合意に基づく変更
3.2.2.4.19 ウェブサイトへの合意に基づく変更 - ACME
3.2.2.4.20 ALPN を使用した TLS
3.2.2.5 IPアドレスの認証
3.2.2.5.1 ウェブサイトへの合意に基づく変更
3.2.2.5.2 IP アドレスへの電子メール、ファックス、SMS、または郵便の連絡先
3.2.2.5.3 アドレス逆引き検索
3.2.2.5.4 その他の方法
3.2.2.5.5 IP アドレスによる電話連絡先
3.2.2.5.6 IP アドレスの ACME「http-01」方式
3.2.2.5.7 IP アドレスの ACME「tls-alpn-01」メソッド
3.2.2.6 ワイルドカードドメインの検証
3.2.2.7 データソースの精度
3.2.2.8 CAA レコード
3.2.3 個人の身元の認証
3.2.4 未検証の加入者情報
3.2.5 権限の検証
3.2.6 相互運用または認証の基準
3.3 キー再生成要求の識別と認証
3.3.1 日常的なキー再生成のための識別と認証
3.3.2 失効後の再鍵の識別と認証
3.4 失効リクエストの識別と認証
4. 証明書のライフサイクル運用要件
4.1 証明書の申請
4.1.1 証明書申請を提出できる人
4.1.2 登録プロセスと責任
4.2 証明書申請処理
4.2.1 識別および認証機能の実行
4.2.2 証明書申請の承認または拒否
4.2.3 証明書申請の処理にかかる時間
4.3 証明書の発行
4.3.1 証明書発行時の CA アクション
4.3.2 CA による加入者への証明書発行の通知
4.4 証明書の受理
4.4.1 証明書の受領を構成する行為
4.4.2 CA による証明書の発行
4.4.3 CA による他のエンティティへの証明書発行の通知
4.5 キーペアと証明書の使用法
4.5.1 加入者の秘密鍵と証明書の使用法
4.5.2 依拠当事者の公開鍵と証明書の使用法
4.6 証明書の更新
4.6.1 証明書更新の状況
4.6.2 更新を要求できる人
4.6.3 証明書更新要求の処理
4.6.4 加入者への証明書新規発行通知
4.6.5 更新証明書の受領に相当する行為
4.6.6 CA による更新証明書の発行
4.6.7 CA による他のエンティティへの証明書発行の通知
4.7 証明書の再キー化
4.7.1 証明書の再キーの状況
4.7.2 新しい公開鍵の認証を要求できる人
4.7.3 証明書の再キーイング要求の処理
4.7.4 加入者への証明書新規発行通知
4.7.5 キーが再生成された証明書の受け入れを構成する行為
4.7.6 CA によるキー再生成された証明書の発行
4.7.7 CA による他のエンティティへの証明書発行の通知
4.8 証明書の変更
4.8.1 証明書変更の状況
4.8.2 証明書の変更を要求できる人
4.8.3 証明書変更要求の処理
4.8.4 加入者への新規証明書発行通知
4.8.5 変更された証明書の受諾に相当する行為
4.8.6 CA による変更された証明書の公開
4.8.7 CA による他のエンティティへの証明書発行の通知
4.9 証明書の失効と一時停止
4.9.1 失効の状況
4.9.1.1 加入者証明書を取り消す理由
4.9.1.2 下位 CA 証明書を取り消す理由
4.9.2 失効を要求できる人
4.9.3 失効申請の手順
4.9.4 失効リクエストの猶予期間
4.9.5 CA が失効要求を処理しなければならない時間
4.9.6 信頼当事者に対する失効チェック要件
4.9.7 CRL発行頻度
4.9.8 CRL の最大遅延 (該当する場合)
4.9.9 オンライン失効/ステータスチェックの可用性
4.9.10 オンライン失効チェック要件
4.9.11 他の形式の取り消し通知も利用可能
4.9.12 鍵侵害に関する特別な要件
4.9.13 一時停止の事情
4.9.14 一時停止を要求できる人
4.9.15 一時停止申請の手順
4.9.16 停止期間の制限
4.10 証明書ステータスサービス
4.10.1 動作特性
4.10.2 サービスの可用性
4.10.3 オプション機能
4.11 サブスクリプションの終了
4.12 鍵のエスクローと回復
4.12.1 主要なエスクローおよび回収ポリシーと実践
4.12.2 セッションキーのカプセル化と回復のポリシーと実践
5. 管理、操作、および物理的制御
5.1 物理的セキュリティ管理
5.1.1 サイトの位置と構造
5.1.2 物理的アクセス
5.1.3 電源と空調
5.1.4 水への暴露
5.1.5 防火および保護
5.1.6 メディアストレージ
5.1.7 廃棄物の処理
5.1.8 オフサイトバックアップ
5.2 手続き上の制御
5.2.1 信頼できる役割
5.2.2 タスクごとに必要な人数
5.2.3 役割ごとの識別と認証
5.2.4 職務の分離が必要な役割
5.3 人事管理
5.3.1 資格、経験、および許可要件
5.3.2 バックグラウンドチェック手順
5.3.3 トレーニングの要件と手順
5.3.4 再トレーニングの頻度と要件
5.3.5 ジョブのローテーションの頻度と順序
5.3.6 不正行為に対する制裁
5.3.7 独立請負業者の管理
5.3.8 担当者に提供される文書
5.4 監査ロギング手順
5.4.1 記録されるイベントの種類
5.4.2 監査ログの処理頻度
5.4.3 監査ログの保存期間
5.4.4 監査ログの保護
5.4.5 監査ログのバックアップ手順
5.4.6 監査収集システム (内部 vs 外部)
5.4.7 イベントの原因となった対象者への通知
5.4.8 脆弱性評価
5.5 記録のアーカイブ
5.5.1 アーカイブされる記録の種類
5.5.2 アーカイブの保存期間
5.5.3 アーカイブの保護
5.5.4 アーカイブバックアップ手順
5.5.5 レコードのタイムスタンプの要件
5.5.6 アーカイブ収集システム (内部または外部)
5.5.7 アーカイブ情報の取得および確認手順
5.6 キーの切り替え
5.7 侵害と災害復旧
5.7.1 インシデントおよび侵害の処理手順
5.7.2 計算リソース、ソフトウェア、データが破損した場合の回復手順
5.7.3 鍵侵害後の回復手順
5.7.4 災害後の事業継続能力
5.8 CA または RA の終端
6. 技術的安全管理
6.1 キーペアの生成とインストール
6.1.1 鍵ペアの生成
6.1.1.1 CA キーペアの生成
6.1.1.2 RA キーペアの生成
6.1.1.3 加入者キーペアの生成
6.1.2 加入者への秘密鍵の配信
6.1.3 証明書発行者への公開鍵の配信
6.1.4 CA 公開キーの証明書利用者への配信
6.1.5 キーのサイズ
6.1.6 公開鍵パラメータの生成と品質チェック
6.1.7 キーの使用目的 (X.509 v3 のキー使用フィールドによる)
6.2 秘密キーの保護と暗号化モジュールのエンジニアリング制御
6.2.1 暗号化モジュールの標準と制御
6.2.2 秘密鍵 (n/m) の複数人制御
6.2.3 秘密鍵エスクロー
6.2.4 秘密鍵のバックアップ
6.2.5 秘密鍵のアーカイブ
6.2.6 暗号化モジュールへの、または暗号化モジュールからの秘密鍵の転送
6.2.7 暗号化モジュール上の秘密鍵の保管
6.2.8 秘密キーのアクティブ化
6.2.9 秘密キーの非アクティブ化
6.2.10 秘密キーの破棄
6.2.11 暗号モジュールの評価
6.3 キーペア管理のその他の側面
6.3.1 公開鍵のアーカイブ
6.3.2 証明書の運用期間と鍵ペアの利用期間
6.4 アクティベーションデータ
6.4.1 アクティベーションデータの生成とインストール
6.4.2 アクティベーションデータの保護
6.4.3 アクティベーションデータのその他の側面
6.5 コンピュータのセキュリティ管理
6.5.1 特定のコンピュータセキュリティ技術要件
6.5.2 コンピュータのセキュリティ評価
6.6 ライフサイクルの技術的管理
6.6.1 システム開発管理
6.6.2 セキュリティ管理制御
6.6.3 ライフサイクルセキュリティ管理
6.7 ネットワークセキュリティ制御
6.8 タイムスタンプ
7. 証明書、CRL、および OCSP プロファイル
7.1 証明書プロファイル
7.1.1 バージョン番号
7.1.2 証明書の内容と拡張子
7.1.2.1 ルート CA 証明書プロファイル
7.1.2.1.1 ルート CA の有効性
7.1.2.1.2 ルート CA 拡張機能
7.1.2.1.3 ルート CA 機関キー識別子
7.1.2.1.4 ルート CA の基本制約
7.1.2.2 相互認証された下位 CA 証明書プロファイル
7.1.2.2.1 相互認証された下位 CA の有効性
7.1.2.2.2 相互認証された下位 CA の命名
7.1.2.2.3 相互認証された下位 CA 拡張機能
7.1.2.2.4 相互認証された下位 CA の拡張キーの使用 - 制限なし
7.1.2.2.5 相互認証された下位 CA の拡張キーの使用 - 制限付き
7.1.2.3 技術的に制約された非TLS下位CA証明書プロファイル
7.1.2.3.1 技術的に制約された非 TLS 下位 CA 拡張機能
7.1.2.3.2 技術的に制約された非TLS下位CA証明書ポリシー
7.1.2.3.3 技術的に制約された非TLS下位CA拡張キーの使用法
7.1.2.4 技術的に制約された事前証明書署名 CA 証明書プロファイル
7.1.2.4.1 技術的に制約された事前証明書署名 CA 拡張機能
7.1.2.4.2 技術的に制約された事前証明書署名 CA 拡張キーの使用法
7.1.2.5 技術的に制約された TLS 下位 CA 証明書プロファイル
7.1.2.5.1 技術的に制約された TLS 下位 CA 拡張機能
7.1.2.5.2 技術的に制約された TLS 下位 CA 名の制約
7.1.2.6 TLS 下位 CA 証明書プロファイル
7.1.2.6.1 TLS 下位 CA 拡張機能
7.1.2.7 加入者(サーバー)証明書プロファイル
7.1.2.7.1 加入者証明書の種類
7.1.2.7.2 ドメイン検証済み
7.1.2.7.3 個別に検証済み
7.1.2.7.4 検証された組織
7.1.2.7.5 拡張検証
7.1.2.7.6 加入者証明書の拡張
7.1.2.7.7 加入者の認証局情報へのアクセス
7.1.2.7.8 加入者証明書の基本制約
7.1.2.7.9 加入者証明書の証明書ポリシー
7.1.2.7.10 加入者証明書の拡張キーの使用法
7.1.2.7.11 加入者証明書キーの使用法
7.1.2.7.12 加入者証明書サブジェクトの代替名
7.1.2.8 OCSP レスポンダー証明書プロファイル
7.1.2.8.1 OCSP レスポンダーの有効性
7.1.2.8.2 OCSP レスポンダー拡張機能
7.1.2.8.3 OCSP レスポンダ権限情報アクセス
7.1.2.8.4 OCSP レスポンダーの基本制約
7.1.2.8.5 OCSP レスポンダーの拡張キーの使用法
7.1.2.8.6 OCSP レスポンダー id-pkix-ocsp-nocheck
7.1.2.8.7 OCSP レスポンダーキーの使用法
7.1.2.8.8 OCSP レスポンダ証明書ポリシー
7.1.2.9 事前証明書プロファイル
7.1.2.9.1 事前証明書プロファイル拡張 - 直接発行
7.1.2.9.2 事前証明書プロファイル拡張 - 事前証明書 CA の発行
7.1.2.9.3 事前証明書ポイズン
7.1.2.9.4 事前認証局キー識別子
7.1.2.10 共通の CA フィールド
7.1.2.10.1 CA 証明書の有効性
7.1.2.10.2 CA 証明書の命名
7.1.2.10.3 CA 認証局情報へのアクセス
7.1.2.10.4 CA 証明書の基本的な制約
7.1.2.10.5 CA 証明書の証明書ポリシー
7.1.2.10.6 CA 証明書の拡張キーの使用法
7.1.2.10.7 CA 証明書キーの使用法
7.1.2.10.8 CA 証明書名の制約
7.1.2.11 共通の証明書フィールド
7.1.2.11.1 権限キー識別子
7.1.2.11.2 CRL 配布ポイント
7.1.2.11.3 署名付き証明書のタイムスタンプリスト
7.1.2.11.4 サブジェクトキー識別子
7.1.2.11.5 その他の拡張機能
7.1.3 アルゴリズムオブジェクト識別子
7.1.3.1 SubjectPublicKeyInfo
7.1.3.1.1 RSA
7.1.3.1.2 ECDSA
7.1.3.2 署名アルゴリズム識別子
7.1.3.2.1 RSA
7.1.3.2.2 ECDSA
7.1.4 名前の形式
7.1.4.1 名前のエンコーディング
7.1.4.2 サブジェクト属性のエンコーディング
7.1.4.3 加入者証明書の共通名属性
7.1.4.4 その他のサブジェクト属性
7.1.5 名前の制約
7.1.6 証明書ポリシーオブジェクト識別子
7.1.6.1 予約済み証明書ポリシー識別子
7.1.7 ポリシー制約拡張の使用法
7.1.8 ポリシー修飾子の構文とセマンティクス
7.1.9 重要な証明書ポリシー拡張機能の処理セマンティクス
7.2 CRLプロファイル
7.2.1 バージョン番号
7.2.2 CRL および CRL エントリ拡張
7.2.2.1 CRL 発行配布ポイント
7.3 OCSP プロファイル
7.3.1 バージョン番号
7.3.2 OCSP 拡張機能
8. コンプライアンス監査およびその他の評価
8.1 評価の頻度または状況
8.2 評価者の身元/資格
8.3 評価者の評価対象事業体との関係
8.4 評価の対象となるトピック
8.5 欠乏の結果としてとられる措置
8.6 結果の伝達
8.7 自己監査
9. その他の業務および法的事項
9.1 料金
9.1.1 証明書の発行または更新料金
9.1.2 証明書へのアクセス料金
9.1.3 失効またはステータス情報へのアクセス料金
9.1.4 その他のサービスの料金
9.1.5 返金ポリシー
9.2 財務的責任
9.2.1 保険適用範囲
9.2.2 その他の資産
9.2.3 エンドエンティティに対する保険または保証の範囲
9.3 ビジネス情報の機密保持
9.3.1 機密情報の範囲
9.3.2 機密情報に該当しない情報
9.3.3 機密情報を保護する責任
9.4 個人情報のプライバシー
9.4.1 プライバシープラン
9.4.2 個人情報として扱われる情報
9.4.3 非公開とみなされない情報
9.4.4 個人情報を保護する責任
9.4.5 個人情報の利用に関する通知と同意
9.4.6 司法または行政手続きに基づく開示
9.4.7 その他の情報開示状況
9.5 知的財産権
9.6 表明と保証
9.6.1 CA の表明と保証
9.6.2 RA の表明と保証
9.6.3 加入者の表明と保証
9.6.4 依拠当事者の表明および保証
9.6.5 他の参加者の表明と保証
9.7 保証の免責事項
9.8 責任の制限
9.9 補償
9.10 期間と終了
9.10.1 期間
9.10.2 終了
9.10.3 終了と存続の影響
9.11 参加者への個別通知および連絡
9.12 修正
9.12.1 改正の手順
9.12.2 通知メカニズムと期間
9.12.3 OID を変更する必要がある状況
9.13 紛争解決規定
9.14 準拠法
9.15 適用法の遵守
9.16 雑則
9.16.1 完全な合意
9.16.2 割り当て
9.16.3 可分性
9.16.4 執行(弁護士費用および権利放棄)
9.16.5 不可抗力
9.17 その他の規定
付録 A – CAA 連絡先タグ
A.1. CAA メソッド
A.1.1. CAA contactemail プロパティ
A.1.2. CAA 連絡先電話プロパティ
A.2. DNS TXT メソッド
A.2.1. DNS TXT レコードの電子メール連絡先
A.2.2. DNS TXT レコード 電話連絡先
付録 B – Onion ドメイン名の証明書の発行
参照:https://cabforum.org/baseline-requirements-documents/
原文
Table of Contents
1. INTRODUCTION
1.1 Overview
1.2 Document name and identification
1.2.1 Revisions
1.2.2 Relevant Dates
1.3 PKI Participants
1.3.1 Certification Authorities
1.3.2 Registration Authorities
1.3.3 Subscribers
1.3.4 Relying Parties
1.3.5 Other Participants
1.4 Certificate Usage
1.4.1 Appropriate Certificate Uses
1.4.2 Prohibited Certificate Uses
1.5 Policy administration
1.5.1 Organization Administering the Document
1.5.2 Contact Person
1.5.3 Person Determining CPS suitability for the policy
1.5.4 CPS approval procedures
1.6 Definitions and Acronyms
1.6.1 Definitions
1.6.2 Acronyms
1.6.3 References
1.6.4 Conventions
2. PUBLICATION AND REPOSITORY RESPONSIBILITIES
2.1 Repositories
2.2 Publication of information
2.3 Time or frequency of publication
2.4 Access controls on repositories
3. IDENTIFICATION AND AUTHENTICATION
3.1 Naming
3.1.1 Types of names
3.1.2 Need for names to be meaningful
3.1.3 Anonymity or pseudonymity of subscribers
3.1.4 Rules for interpreting various name forms
3.1.5 Uniqueness of names
3.1.6 Recognition, authentication, and role of trademarks
3.2 Initial identity validation
3.2.1 Method to prove possession of private key
3.2.2 Authentication of Organization and Domain Identity
3.2.2.1 Identity
3.2.2.2 DBA/Tradename
3.2.2.3 Verification of Country
3.2.2.4 Validation of Domain Authorization or Control
3.2.2.4.1 Validating the Applicant as a Domain Contact
3.2.2.4.2 Email, Fax, SMS, or Postal Mail to Domain Contact
3.2.2.4.3 Phone Contact with Domain Contact
3.2.2.4.4 Constructed Email to Domain Contact
3.2.2.4.5 Domain Authorization Document
3.2.2.4.6 Agreed-Upon Change to Website
3.2.2.4.7 DNS Change
3.2.2.4.8 IP Address
3.2.2.4.9 Test Certificate
3.2.2.4.10 TLS Using a Random Value
3.2.2.4.11 Any Other Method
3.2.2.4.12 Validating Applicant as a Domain Contact
3.2.2.4.13 Email to DNS CAA Contact
3.2.2.4.14 Email to DNS TXT Contact
3.2.2.4.15 Phone Contact with Domain Contact
3.2.2.4.16 Phone Contact with DNS TXT Record Phone Contact
3.2.2.4.17 Phone Contact with DNS CAA Phone Contact
3.2.2.4.18 Agreed-Upon Change to Website v2
3.2.2.4.19 Agreed-Upon Change to Website - ACME
3.2.2.4.20 TLS Using ALPN
3.2.2.5 Authentication for an IP Address
3.2.2.5.1 Agreed-Upon Change to Website
3.2.2.5.2 Email, Fax, SMS, or Postal Mail to IP Address Contact
3.2.2.5.3 Reverse Address Lookup
3.2.2.5.4 Any Other Method
3.2.2.5.5 Phone Contact with IP Address Contact
3.2.2.5.6 ACME “http-01” method for IP Addresses
3.2.2.5.7 ACME “tls-alpn-01” method for IP Addresses
3.2.2.6 Wildcard Domain Validation
3.2.2.7 Data Source Accuracy
3.2.2.8 CAA Records
3.2.3 Authentication of individual identity
3.2.4 Non-verified subscriber information
3.2.5 Validation of authority
3.2.6 Criteria for Interoperation or Certification
3.3 Identification and authentication for re-key requests
3.3.1 Identification and authentication for routine re-key
3.3.2 Identification and authentication for re-key after revocation
3.4 Identification and authentication for revocation request
4. CERTIFICATE LIFE-CYCLE OPERATIONAL REQUIREMENTS
4.1 Certificate Application
4.1.1 Who can submit a certificate application
4.1.2 Enrollment process and responsibilities
4.2 Certificate application processing
4.2.1 Performing identification and authentication functions
4.2.2 Approval or rejection of certificate applications
4.2.3 Time to process certificate applications
4.3 Certificate issuance
4.3.1 CA actions during certificate issuance
4.3.2 Notification to subscriber by the CA of issuance of certificate
4.4 Certificate acceptance
4.4.1 Conduct constituting certificate acceptance
4.4.2 Publication of the certificate by the CA
4.4.3 Notification of certificate issuance by the CA to other entities
4.5 Key pair and certificate usage
4.5.1 Subscriber private key and certificate usage
4.5.2 Relying party public key and certificate usage
4.6 Certificate renewal
4.6.1 Circumstance for certificate renewal
4.6.2 Who may request renewal
4.6.3 Processing certificate renewal requests
4.6.4 Notification of new certificate issuance to subscriber
4.6.5 Conduct constituting acceptance of a renewal certificate
4.6.6 Publication of the renewal certificate by the CA
4.6.7 Notification of certificate issuance by the CA to other entities
4.7 Certificate re-key
4.7.1 Circumstance for certificate re-key
4.7.2 Who may request certification of a new public key
4.7.3 Processing certificate re-keying requests
4.7.4 Notification of new certificate issuance to subscriber
4.7.5 Conduct constituting acceptance of a re-keyed certificate
4.7.6 Publication of the re-keyed certificate by the CA
4.7.7 Notification of certificate issuance by the CA to other entities
4.8 Certificate modification
4.8.1 Circumstance for certificate modification
4.8.2 Who may request certificate modification
4.8.3 Processing certificate modification requests
4.8.4 Notification of new certificate issuance to subscriber
4.8.5 Conduct constituting acceptance of modified certificate
4.8.6 Publication of the modified certificate by the CA
4.8.7 Notification of certificate issuance by the CA to other entities
4.9 Certificate revocation and suspension
4.9.1 Circumstances for revocation
4.9.1.1 Reasons for Revoking a Subscriber Certificate
4.9.1.2 Reasons for Revoking a Subordinate CA Certificate
4.9.2 Who can request revocation
4.9.3 Procedure for revocation request
4.9.4 Revocation request grace period
4.9.5 Time within which CA must process the revocation request
4.9.6 Revocation checking requirement for relying parties
4.9.7 CRL issuance frequency
4.9.8 Maximum latency for CRLs (if applicable)
4.9.9 On-line revocation/status checking availability
4.9.10 On-line revocation checking requirements
4.9.11 Other forms of revocation advertisements available
4.9.12 Special requirements re key compromise
4.9.13 Circumstances for suspension
4.9.14 Who can request suspension
4.9.15 Procedure for suspension request
4.9.16 Limits on suspension period
4.10 Certificate status services
4.10.1 Operational characteristics
4.10.2 Service availability
4.10.3 Optional features
4.11 End of subscription
4.12 Key escrow and recovery
4.12.1 Key escrow and recovery policy and practices
4.12.2 Session key encapsulation and recovery policy and practices
5. MANAGEMENT, OPERATIONAL, AND PHYSICAL CONTROLS
5.1 Physical Security Controls
5.1.1 Site location and construction
5.1.2 Physical access
5.1.3 Power and air conditioning
5.1.4 Water exposures
5.1.5 Fire prevention and protection
5.1.6 Media storage
5.1.7 Waste disposal
5.1.8 Off-site backup
5.2 Procedural controls
5.2.1 Trusted roles
5.2.2 Number of Individuals Required per Task
5.2.3 Identification and authentication for each role
5.2.4 Roles requiring separation of duties
5.3 Personnel controls
5.3.1 Qualifications, experience, and clearance requirements
5.3.2 Background check procedures
5.3.3 Training Requirements and Procedures
5.3.4 Retraining frequency and requirements
5.3.5 Job rotation frequency and sequence
5.3.6 Sanctions for unauthorized actions
5.3.7 Independent Contractor Controls
5.3.8 Documentation supplied to personnel
5.4 Audit logging procedures
5.4.1 Types of events recorded
5.4.2 Frequency of processing audit log
5.4.3 Retention period for audit log
5.4.4 Protection of audit log
5.4.5 Audit log backup procedures
5.4.6 Audit collection System (internal vs. external)
5.4.7 Notification to event-causing subject
5.4.8 Vulnerability assessments
5.5 Records archival
5.5.1 Types of records archived
5.5.2 Retention period for archive
5.5.3 Protection of archive
5.5.4 Archive backup procedures
5.5.5 Requirements for time-stamping of records
5.5.6 Archive collection system (internal or external)
5.5.7 Procedures to obtain and verify archive information
5.6 Key changeover
5.7 Compromise and disaster recovery
5.7.1 Incident and compromise handling procedures
5.7.2 Recovery Procedures if Computing resources, software, and/or data are corrupted
5.7.3 Recovery Procedures after Key Compromise
5.7.4 Business continuity capabilities after a disaster
5.8 CA or RA termination
6. TECHNICAL SECURITY CONTROLS
6.1 Key pair generation and installation
6.1.1 Key pair generation
6.1.1.1 CA Key Pair Generation
6.1.1.2 RA Key Pair Generation
6.1.1.3 Subscriber Key Pair Generation
6.1.2 Private key delivery to subscriber
6.1.3 Public key delivery to certificate issuer
6.1.4 CA public key delivery to relying parties
6.1.5 Key sizes
6.1.6 Public key parameters generation and quality checking
6.1.7 Key usage purposes (as per X.509 v3 key usage field)
6.2 Private Key Protection and Cryptographic Module Engineering Controls
6.2.1 Cryptographic module standards and controls
6.2.2 Private key (n out of m) multi-person control
6.2.3 Private key escrow
6.2.4 Private key backup
6.2.5 Private key archival
6.2.6 Private key transfer into or from a cryptographic module
6.2.7 Private key storage on cryptographic module
6.2.8 Activating Private Keys
6.2.9 Deactivating Private Keys
6.2.10 Destroying Private Keys
6.2.11 Cryptographic Module Rating
6.3 Other aspects of key pair management
6.3.1 Public key archival
6.3.2 Certificate operational periods and key pair usage periods
6.4 Activation data
6.4.1 Activation data generation and installation
6.4.2 Activation data protection
6.4.3 Other aspects of activation data
6.5 Computer security controls
6.5.1 Specific computer security technical requirements
6.5.2 Computer security rating
6.6 Life cycle technical controls
6.6.1 System development controls
6.6.2 Security management controls
6.6.3 Life cycle security controls
6.7 Network security controls
6.8 Time-stamping
7. CERTIFICATE, CRL, AND OCSP PROFILES
7.1 Certificate profile
7.1.1 Version number(s)
7.1.2 Certificate Content and Extensions
7.1.2.1 Root CA Certificate Profile
7.1.2.1.1 Root CA Validity
7.1.2.1.2 Root CA Extensions
7.1.2.1.3 Root CA Authority Key Identifier
7.1.2.1.4 Root CA Basic Constraints
7.1.2.2 Cross-Certified Subordinate CA Certificate Profile
7.1.2.2.1 Cross-Certified Subordinate CA Validity
7.1.2.2.2 Cross-Certified Subordinate CA Naming
7.1.2.2.3 Cross-Certified Subordinate CA Extensions
7.1.2.2.4 Cross-Certified Subordinate CA Extended Key Usage - Unrestricted
7.1.2.2.5 Cross-Certified Subordinate CA Extended Key Usage - Restricted
7.1.2.3 Technically Constrained Non-TLS Subordinate CA Certificate Profile
7.1.2.3.1 Technically Constrained Non-TLS Subordinate CA Extensions
7.1.2.3.2 Technically Constrained Non-TLS Subordinate CA Certificate Policies
7.1.2.3.3 Technically Constrained Non-TLS Subordinate CA Extended Key Usage
7.1.2.4 Technically Constrained Precertificate Signing CA Certificate Profile
7.1.2.4.1 Technically Constrained Precertificate Signing CA Extensions
7.1.2.4.2 Technically Constrained Precertificate Signing CA Extended Key Usage
7.1.2.5 Technically Constrained TLS Subordinate CA Certificate Profile
7.1.2.5.1 Technically Constrained TLS Subordinate CA Extensions
7.1.2.5.2 Technically Constrained TLS Subordinate CA Name Constraints
7.1.2.6 TLS Subordinate CA Certificate Profile
7.1.2.6.1 TLS Subordinate CA Extensions
7.1.2.7 Subscriber (Server) Certificate Profile
7.1.2.7.1 Subscriber Certificate Types
7.1.2.7.2 Domain Validated
7.1.2.7.3 Individual Validated
7.1.2.7.4 Organization Validated
7.1.2.7.5 Extended Validation
7.1.2.7.6 Subscriber Certificate Extensions
7.1.2.7.7 Subscriber Certificate Authority Information Access
7.1.2.7.8 Subscriber Certificate Basic Constraints
7.1.2.7.9 Subscriber Certificate Certificate Policies
7.1.2.7.10 Subscriber Certificate Extended Key Usage
7.1.2.7.11 Subscriber Certificate Key Usage
7.1.2.7.12 Subscriber Certificate Subject Alternative Name
7.1.2.8 OCSP Responder Certificate Profile
7.1.2.8.1 OCSP Responder Validity
7.1.2.8.2 OCSP Responder Extensions
7.1.2.8.3 OCSP Responder Authority Information Access
7.1.2.8.4 OCSP Responder Basic Constraints
7.1.2.8.5 OCSP Responder Extended Key Usage
7.1.2.8.6 OCSP Responder id-pkix-ocsp-nocheck
7.1.2.8.7 OCSP Responder Key Usage
7.1.2.8.8 OCSP Responder Certificate Policies
7.1.2.9 Precertificate Profile
7.1.2.9.1 Precertificate Profile Extensions - Directly Issued
7.1.2.9.2 Precertificate Profile Extensions - Precertificate CA Issued
7.1.2.9.3 Precertificate Poison
7.1.2.9.4 Precertificate Authority Key Identifier
7.1.2.10 Common CA Fields
7.1.2.10.1 CA Certificate Validity
7.1.2.10.2 CA Certificate Naming
7.1.2.10.3 CA Certificate Authority Information Access
7.1.2.10.4 CA Certificate Basic Constraints
7.1.2.10.5 CA Certificate Certificate Policies
7.1.2.10.6 CA Certificate Extended Key Usage
7.1.2.10.7 CA Certificate Key Usage
7.1.2.10.8 CA Certificate Name Constraints
7.1.2.11 Common Certificate Fields
7.1.2.11.1 Authority Key Identifier
7.1.2.11.2 CRL Distribution Points
7.1.2.11.3 Signed Certificate Timestamp List
7.1.2.11.4 Subject Key Identifier
7.1.2.11.5 Other Extensions
7.1.3 Algorithm object identifiers
7.1.3.1 SubjectPublicKeyInfo
7.1.3.1.1 RSA
7.1.3.1.2 ECDSA
7.1.3.2 Signature AlgorithmIdentifier
7.1.3.2.1 RSA
7.1.3.2.2 ECDSA
7.1.4 Name Forms
7.1.4.1 Name Encoding
7.1.4.2 Subject Attribute Encoding
7.1.4.3 Subscriber Certificate Common Name Attribute
7.1.4.4 Other Subject Attributes
7.1.5 Name constraints
7.1.6 Certificate policy object identifier
7.1.6.1 Reserved Certificate Policy Identifiers
7.1.7 Usage of Policy Constraints extension
7.1.8 Policy qualifiers syntax and semantics
7.1.9 Processing semantics for the critical Certificate Policies extension
7.2 CRL profile
7.2.1 Version number(s)
7.2.2 CRL and CRL entry extensions
7.2.2.1 CRL Issuing Distribution Point
7.3 OCSP profile
7.3.1 Version number(s)
7.3.2 OCSP extensions
8. COMPLIANCE AUDIT AND OTHER ASSESSMENTS
8.1 Frequency or circumstances of assessment
8.2 Identity/qualifications of assessor
8.3 Assessor's relationship to assessed entity
8.4 Topics covered by assessment
8.5 Actions taken as a result of deficiency
8.6 Communication of results
8.7 Self-Audits
9. OTHER BUSINESS AND LEGAL MATTERS
9.1 Fees
9.1.1 Certificate issuance or renewal fees
9.1.2 Certificate access fees
9.1.3 Revocation or status information access fees
9.1.4 Fees for other services
9.1.5 Refund policy
9.2 Financial responsibility
9.2.1 Insurance coverage
9.2.2 Other assets
9.2.3 Insurance or warranty coverage for end-entities
9.3 Confidentiality of business information
9.3.1 Scope of confidential information
9.3.2 Information not within the scope of confidential information
9.3.3 Responsibility to protect confidential information
9.4 Privacy of personal information
9.4.1 Privacy plan
9.4.2 Information treated as private
9.4.3 Information not deemed private
9.4.4 Responsibility to protect private information
9.4.5 Notice and consent to use private information
9.4.6 Disclosure pursuant to judicial or administrative process
9.4.7 Other information disclosure circumstances
9.5 Intellectual property rights
9.6 Representations and warranties
9.6.1 CA representations and warranties
9.6.2 RA representations and warranties
9.6.3 Subscriber representations and warranties
9.6.4 Relying party representations and warranties
9.6.5 Representations and warranties of other participants
9.7 Disclaimers of warranties
9.8 Limitations of liability
9.9 Indemnities
9.10 Term and termination
9.10.1 Term
9.10.2 Termination
9.10.3 Effect of termination and survival
9.11 Individual notices and communications with participants
9.12 Amendments
9.12.1 Procedure for amendment
9.12.2 Notification mechanism and period
9.12.3 Circumstances under which OID must be changed
9.13 Dispute resolution provisions
9.14 Governing law
9.15 Compliance with applicable law
9.16 Miscellaneous provisions
9.16.1 Entire agreement
9.16.2 Assignment
9.16.3 Severability
9.16.4 Enforcement (attorneys' fees and waiver of rights)
9.16.5 Force Majeure
9.17 Other provisions
APPENDIX A – CAA Contact Tag
A.1. CAA Methods
A.1.1. CAA contactemail Property
A.1.2. CAA contactphone Property
A.2. DNS TXT Methods
A.2.1. DNS TXT Record Email Contact
A.2.2. DNS TXT Record Phone Contact
APPENDIX B – Issuance of Certificates for Onion Domain Names
参考文献
1.6.3 References
ETSI EN 319 403, Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers
ETSI EN 319 411-1, Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements
ETSI TS 102 042, Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates.
FIPS 140-2, Federal Information Processing Standards Publication - Security Requirements For Cryptographic Modules, Information Technology Laboratory, National Institute of Standards and Technology, May 25, 2001.
FIPS 186-4, Federal Information Processing Standards Publication - Digital Signature Standard (DSS), Information Technology Laboratory, National Institute of Standards and Technology, July 2013.
ISO 21188:2006, Public key infrastructure for financial services -- Practices and policy framework.
Network and Certificate System Security Requirements, v.1.0, 1/1/2013.
NIST SP 800-89, Recommendation for Obtaining Assurances for Digital Signature Applications, http://csrc.nist.gov/publications/nistpubs/800-89/SP-800-89_November2006.pdf.
RFC2119, Request for Comments: 2119, Key words for use in RFCs to Indicate Requirement Levels, Bradner, March 1997.
※IPA日本語:RFC において要請の程度を示すために用いるキーワード
RFC2527, Request for Comments: 2527, Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, Chokhani, et al, March 1999.
RFC3492, Request for Comments: 3492, Punycode: A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA). A. Costello. March 2003.
RFC3647, Request for Comments: 3647, Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, Chokhani, et al, November 2003.
※IPA日本語:インターネット X.509 PKI: 証明書ポリシーと認証実施フレームワーク
RFC3912, Request for Comments: 3912, WHOIS Protocol Specification, Daigle, September 2004.
RFC3986, Request for Comments: 3986, Uniform Resource Identifier (URI): Generic Syntax. T. Berners-Lee, et al. January 2005.
RFC4366, Request for Comments: 4366, Transport Layer Security (TLS) Extensions, Blake-Wilson, et al, April 2006.
RFC5019, Request for Comments: 5019, The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments, A. Deacon, et al, September 2007.
RFC5280, Request for Comments: 5280, Internet X.509 Public Key Infrastructure: Certificate and Certificate Revocation List (CRL) Profile, Cooper et al, May 2008.
※日本語:インターネットX.509 PKI: 証明書と CRL のプロファイル
RFC5890, Request for Comments: 5890, Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework. J. Klensin. August 2010.
RFC5952, Request for Comments: 5952, A Recommendation for IPv6 Address Text Representation. S. Kawamura, et al. August 2010.
RFC8659, Request for Comments: 8659, DNS Certification Authority Authorization (CAA) Resource Record, Hallam-Baker, Stradling, Hoffman-Andrews, November 2019.
RFC6960, Request for Comments: 6960, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP. Santesson, Myers, Ankney, Malpani, Galperin, Adams, June 2013.
RFC6962, Request for Comments: 6962, Certificate Transparency. B. Laurie, A. Langley, E. Kasper. June 2013.
RFC7231, Request For Comments: 7231, Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content, R. Fielding, J. Reschke. June 2014.
RFC7538, Request For Comments: 7538, The Hypertext Transfer Protocol Status Code 308 (Permanent Redirect), J. Reschke. April 2015.
RFC7482, Request for Comments: 7482, Registration Data Access Protocol (RDAP) Query Format, Newton, et al, March 2015.
RFC8499, Request for Comments: 8499, DNS Terminology. P. Hoffman, et al. January 2019.
WebTrust for Certification Authorities, SSL Baseline with Network Security, Version 2.3, available at https://www.cpacanada.ca/-/media/site/business-and-accounting-resources/docs/webtrust/wt-pcca-ss-lbns2-3.pdf.
X.509, Recommendation ITU-T X.509 (10/2012) | ISO/IEC 9594-8:2014 (E), Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks.