Baseline Requirements
CA/Browser Forumにより、以下の規準が策定されている。
「TLSサーバー証明書」
「TLSサーバー証明書(EV証明書)」
「コードサイニング証明書」
「ネットワークセキュリティ」(それぞれの証明書に共通した内容)
(※)「S/MIME証明書」向けは、2022年5月現在、ドラフトが公開され、発効に向けて準備中。
Baseline Requirementsの要件を満たすためにはWebtrust監査等の認定を取得することが要件になっている。
Baseline Requirements Documents (SSL/TLS Server Certificates)
PDF:https://cabforum.org/baseline-requirements-documents/
GitHub:https://github.com/cabforum/servercert
Ballot:https://cabforum.org/ballots/server-certificate-ballots/
更新頻度:2021年 年8回。2020年 年8回。
初版(Ver. 1.0):2011/11/22(2012/07/01 発効)
EV SSL Certificate Guidelines
PDF:https://cabforum.org/extended-validation/
GitHub:https://github.com/cabforum/servercert
更新頻度:2021年 年4回。2020年 年4回。
初版(Ver. 1.0):2007/06/12 発効
Baseline Requirements (Code Signing)
PDF:https://cabforum.org/baseline-requirements-code-signing/
GitHub:https://github.com/cabforum/code-signing
Ballot:https://cabforum.org/ballots/code-signing-ballots/
更新頻度:2021年 年6回。2020年 年2回。
初版(Ver. 1.2):2019/08/13
前身の規準:Minimum Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates (Code Signing Working Group) Version 1.1 (September 22, 2016)
Network Security Requirements
PDF:https://cabforum.org/network-security-requirements/
GitHub:https://github.com/cabforum/servercert
Ballot:https://cabforum.org/ballots/network-security-wg-ballots/
更新頻度:2021年 年2回。2020年 年2回。
初版(Ver. 1.0):2013/01/01
S/MIME Baseline Requirements (Draft版)
GitHub:https://github.com/cabforum/smime/blob/preSBR/SBR.md
GitHub:https://github.com/cabforum/smime
更新頻度:
Baseline Requirements(ベースライン要件)について
Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates(パブリック証明書の発行および管理に関する基本要件)は、認証局が SSL/TLS サーバ用のデジタル証明書を発行し、ブラウザから公に信頼されるために満たすべき要件のサブセットを記述したものである。明示的に別段の定めがある場合を除き、要件は、要件の発効日以降に発生する事象にのみ適用される。
要件は、一般に信頼される証明書の発行と管理に関連するすべての問題を取り扱うものではなく、CA/Browser Forum は、オンラインセキュリティに対する既存の脅威と新たな脅威に対応するために、要件を更新することがある。
https://cabforum.org/about-the-baseline-requirements/ 翻訳
章立て
Baseline Requirements Version 1.8.4の章立ては、以下となっている。
RFC3647 「4.Contents of a Set of Provisions」に準拠した章立てとなっている。
日本語訳
目次
1 はじめに
1.1 概要
1.2 文書の名称と識別
1.2.1 改訂内容
1.2.2 関連する日付
1.3 PKI 参加者
1.3.1 CA(認証機関)
1.3.2 RA(登録機関)
1.3.3 利用者
1.3.4 依拠当事者
1.3.5 その他の参加者
1.4 証明書の使用
1.4.1 適切な証明書の使用方法
1.4.2 禁止される証明書の使用方法
1.5 ポリシー管理
1.5.1 文書を管理する組織
1.5.2 連絡担当者
1.5.3 ポリシーに対する CPS の適合性を判断する者
1.5.4 CPS の承認手続き
1.6 定義および頭字語
1.6.1 定義
1.6.2 頭字語
1.6.3 参考文献
1.6.4 規約
2 出版およびリポジトリの責任
2.1 リポジトリ
2.2 情報の公開
2.3 公開の時期または頻度
2.4 リポジトリへのアクセス制御
3 識別と認証
3.1 命名
3.1.1 名称の種類
3.1.2 意味のある名前である必要性
3.1.3 購読者の匿名性または偽名性
3.1.4 さまざまな名前の形式を解釈するための規則
3.1.5 名前の一意性
3.1.6 商標の認識、認証、および役割
3.2 初期の ID 検証
3.2.1 プライベートキーの所持を証明する方法
3.2.2 組織およびドメイン・アイデンティティの認証
3.2.2.1 身分証明
3.2.2.2 DBA/トレードネーム
3.2.2.3 国名の検証
3.2.2.4 ドメインの権限または制御の検証
3.2.2.5 IPアドレスの認証
3.2.2.6 ワイルドカードドメインの検証
3.2.2.7 データソースの正確性
3.2.2.8 CAAレコード
3.2.3 個人のアイデンティティの認証
3.2.4 未検証の加入者情報
3.2.5 権限の検証
3.2.6 相互運用または認証のための基準
3.3 Re-key要求のための識別および認証
3.3.1 定期的な Re-keyを行うための識別および認証
3.3.2 失効後の再認証のための識別および認証
3.4 失効要求のための本人確認及び認証
4 証明書ライフサイクルの運用要件
4.1 証明書申請
4.1.1 証明書申請を行うことができる者
4.1.2 登録プロセスおよび責任
4.2 証明書申請処理
4.2.1 識別及び認証機能の実行
4.2.2 証明書申請の承認または却下
4.2.3 証明書申請処理に要する時間
4.3 証明書の発行
4.3.1 証明書発行中の CA の行為
4.3.2 CA による加入者への証明書発行の通知
4.4 認証書の受領
4.4.1 証明書の受理とみなされる行為
4.4.2 CA による証明書の発行
4.4.3 認証局から他のエンティティへの証明書発行の通知
4.5 鍵ペアおよび証明書の使用
4.5.1 加入者のプライベートキーおよび証明書の使用法
4.5.2 依拠当事者公開鍵および証明書の使用法
4.6 証明書の更新
4.6.1 証明書の更新の状況
4.6.2 更新を要求できる者
4.6.3 証明書の更新要求の処理
4.6.4 加入者への新しい証明書発行の通知
4.6.5 更新された証明書を受領したものとみなされる行為
4.6.6 CA による更新された証明書の公開
4.6.7 認証局から他のエンティティへの証明書発行の通知
4.7 証明書の Re-key
4.7.1 証明書の Re-key を行う状況
4.7.2 新しい公開鍵の証明書を要求できる者
4.7.3 証明書の Re-key 要求の処理
4.7.4 加入者への新しい証明書発行の通知
4.7.5 Re-key された証明書を受領したものとみなされる行為
4.7.6 CA による Re-keyされた証明書の公開
4.7.7 認証局から他のエンティティへの証明書発行の通知
4.8 証明書の変更
4.8.1 証明書の変更の状況
4.8.2 証明書の変更を要求できる者
4.8.3 証明書記載変更要求の処理
4.8.4 加入者への新しい証明書発行の通知
4.8.5 変更された証明書を受領したものとみなされる行為
4.8.6 CA による修正された証明書の公開
4.8.7 CA から他のエンティティへの証明書発行の通知
4.9 証明書の失効および一時停止
4.9.1 失効の状況
4.9.1.1 加入者証明書を失効させる理由
4.9.1.2 下位CA証明書を失効させる理由
4.9.2 失効を要求できる者
4.9.3 失効要求の手続き
4.9.4 失効要求の猶予期間
4.9.5 CA が失効要求を処理しなければならない時間
4.9.6 依拠当事者に対する失効確認要件
4.9.7 CRL の発行頻度(該当する場合)
4.9.8 CRL の最大待ち時間(該当する場合)。
4.9.9 オンラインでの失効/状態確認の可否
4.9.10 オンラインでの失効チェックの要件
4.9.11 他の形式の失効広告を利用できる。
4.9.12 鍵の危殆化に関する特別な要求事項
4.9.13 停止の状況
4.9.14 停止を要求できる者
4.9.15 停止要求の手続き
4.9.16 一時停止期間の制限
4.10 証明書ステータスサービス
4.10.1 運用特性
4.10.2 サービスの利用可能性
4.10.3 オプション機能
4.11 サブスクリプションの終了
4.12 キーエスクローとリカバリー
4.12.1 鍵の預託と復旧のポリシーと手続き
4.12.2 セッション鍵のカプセル化およびリカバリーのポリシーと手続き
5. 管理、運用、および物理的な管理
5.1 物理的セキュリティ管理
5.1.1 サイトの場所と構造
5.1.2 物理的アクセス
5.1.3 電力及び空調
5.1.4 水濡れ
5.1.5 火災の防止及び保護
5.1.6 メディアの保管
5.1.7 廃棄物処理
5.1.8 オフサイトバックアップ
5.2 手続き上の管理
5.2.1 信頼される役割
5.2.2 タスクごとに必要な個人の数
5.2.3 各役割の識別と認証
5.2.4 任務の分離が必要な役割
5.3 人員管理
5.3.1 資格、経験、及びクリアランスの要件
5.3.2 バックグラウンドチェックの手順
5.3.3 訓練の要求事項及び手順
5.3.4 再教育の頻度及び要求事項
5.3.5 ジョブローテーションの頻度及び順序
5.3.6 不正な行為に対する制裁措置
5.3.7 独立した契約者の管理
5.3.8 要員に提供される文書
5.4 監査記録手順
5.4.1 記録される事象の種類
5.4.2 監査ログの処理頻度
5.4.3 監査ログの保存期間
5.4.4 監査ログの保護
5.4.5 監査ログのバックアップ手順
5.4.6 監査の収集システム(内部と外部)
5.4.7 イベント発生主体への通知
5.4.8 脆弱性の評価
5.5 記録の保管
5.5.1 アーカイブされる記録の種類
5.5.2 アーカイブの保存期間
5.5.3 アーカイブの保護
5.5.4 アーカイブのバックアップ手順
5.5.5 記録のタイムスタンプに関する要求事項
5.5.6 アーカイブ収集システム(内部または外部)
5.5.7 アーカイブ情報の入手と検証の手順
5.6 鍵の交換
5.7 危殆化及び災害復旧
5.7.1 インシデント及び危殆化の処理手順
5.7.2 コンピューティングリソース、ソフトウェア、及び/又はデータが破壊された場合の回復手順
5.7.3 鍵の危殆化後の復旧手順
5.7.4 災害後の事業継続能力
5.8 CAあるいは RA の終了
6 技術的セキュリティ管理
6.1 鍵ペアの生成およびインストール
6.1.1 鍵ペアの生成
6.1.1.1 CA 鍵ペアの生成
6.1.1.2 RA 鍵ペア生成
6.1.1.3 サブスクライバ鍵ペアの生成
6.1.2 プライベートキーの加入者への配布
6.1.3 証明書発行者に対する公開鍵の配付
6.1.4 依拠当事者への認証局公開鍵の配布
6.1.5 鍵のサイズ
6.1.6 公開鍵のパラメータ生成と品質検査
6.1.7 鍵の使用目的(X509 v3 Key Usage フィールドに準ずる)
6.2 プライベートキーの保護及び暗号化モジュール技術管理
6.2.1 暗号化モジュール標準と管理
6.2.2 プライベートキー(n out of m)の複数人による管理
6.2.3 プライベートキーのエスクロー
6.2.4 プライベートキーのバックアップ
6.2.5 プライベートキーの保存
6.2.6 暗号モジュールへの、または暗号モジュールからのプライベートキーの転送
6.2.7 暗号モジュールへのプライベートキーの保管
6.2.8 プライベートキーの活性化
6.2.9 プライベートキーの非活性化
6.2.10 プライベートキーの破壊
6.2.11 暗号モジュールの機能
6.3 鍵ペア管理のその他の側面
6.3.1 公開鍵のアーカイバル
6.3.2 証明書の運用期間と鍵ペアの使用期間
6.4 活性化データ
6.4.1 活性化データの生成とインストール
6.4.2 活性化データの保護
6.4.3 活性化データのその他の側面
6.5 コンピュータのセキュリティ管理
6.5.1 特定のコンピュータセキュリティ技術要件
6.5.2 コンピュータセキュリティの格付け
6.6 ライフサイクルの技術的管理
6.6.1 システム開発の管理
6.6.2 セキュリティ管理の管理
6.6.3 ライフサイクルセキュリティ管理
6.7 ネットワークセキュリティ管理
6.8 タイムスタンプ
7. 証明書、CRL、及び OCSP プロファイル
7.1 証明書プロファイル
7.1.1 バージョン番号
7.1.2 証明書の内容及び拡張子、RFC5280 の適用
7.1.2.1 ルートCA証明書
7.1.2.2 下位CA証明書
7.1.2.3 利用者証明書
7.1.2.4 すべての証明書
7.1.2.5 RFC5280 の適用について
7.1.3 アルゴリズムのオブジェクト識別子
7.1.3.1 SubjectPublicKeyInfo (サブジェクトパブリックキーインフォ)
7.1.3.2 署名アルゴリズム識別子(Signature AlgorithmIdentifier)
7.1.4 名前の形式
7.1.4.1 名前のエンコーディング
7.1.4.2 サブジェクト情報 - 利用者証明書
7.1.4.3 サブジェクト情報 - ルート証明書および下位CA証明書
7.1.5 名前の制約
7.1.6 証明書ポリシーオブジェクト識別子
7.1.6.1 予約済み証明書ポリシー識別子
7.1.6.2 ルートCA証明書
7.1.6.3 下位CA証明書
7.1.6.4 利用者証明書
7.1.7 Policy Constraints エクステンションの使用法
7.1.8 ポリシー修飾子のシンタックスとセマンティクス
7.1.9 critical Certificate Policies エクステンションの処理セマンティクス
7.2 CRL プロファイル
7.2.1 バージョン番号(複数可)
7.2.2 CRL および CRL エントリ拡張子
7.3 OCSP プロファイル
7.3.1 バージョン番号(複数可)
7.3.2 OCSP拡張機能
8. コンプライアンス監査およびその他の評価
8.1 評価の頻度または状況
8.2 評価者の身元/資格
8.3 被評価組織と評価者の関係
8.4 評価の対象となるトピック
8.5 欠陥の結果としてとられた措置
8.6 結果の伝達
8.7 自己監査
9 その他の業務及び法的事項
9.1 手数料
9.1.1 証明書発行または更新料金
9.1.1 証明書発行または更新料金
9.1.2 証明書アクセス料金
9.1.3 失効またはステータス情報へのアクセス料金
9.1.4 その他のサービスに関する料金
9.1.5 返金ポリシー
9.2 経済的責任
9.2.1 保険の適用
9.2.2 その他の資産
9.2.3 エンドエンティティの保険又は保証の適用範囲
9.3 ビジネス情報の機密性
9.3.1 機密情報の範囲
9.3.2 機密情報の範囲に含まれない情報
9.3.3 機密情報を保護するための責任
9.4 個人情報のプライバシー
9.4.1 個人情報保護計画
9.4.2 個人情報として扱われる情報
9.4.3 個人情報とみなされない情報
9.4.4 個人情報を保護する責任
9.4.5 個人情報の利用についての通知と同意
9.4.6 司法または行政手続きに基づく開示
9.4.7 その他の情報開示の状況
9.5 知的財産権
9.6 表明および保証
9.6.1 CA の表明および保証
9.6.2 RA の表明および保証
9.6.3 サブスクライバの表明および保証
9.6.4 信頼できる当事者の表明および保証
9.6.5 他の参加者の表明および保証
9.7 保証の免責事項
9.8 責任の制限
9.9 補償
9.10 契約期間と終了
9.10.1 契約期間
9.10.2 解除
9.10.3 解除と存続の効果
9.11 個別の通知と参加者との連絡
9.12 改正
9.12.1 改正手続き
9.12.2 通知の仕組み及び期間
9.12.3 OIDが変更されなければならない状況
9.13 紛争解決条項
9.14 準拠法
9.15 適用法の遵守
9.16 その他の規定
9.16.1 完全な合意
9.16.2 譲渡
9.16.3 分離可能性
9.16.4 強制執行(弁護士費用と権利の放棄)
9.16.5 不可抗力
9.17 その他の規定
付録 A - CAA 連絡先タグ
A.1. CAA の方法
A.1.1. CAA contactemail プロパティ
A.1.2. CAA contactphone プロパティ
A.2. DNS TXTメソッド
A.2.1. DNS TXTレコードの電子メール連絡先
A.2.2. DNS TXTレコードの電話による問い合わせ
付録 B - Onion ドメイン名に対する証明書の発行参照:https://cabforum.org/baseline-requirements-documents/
原文
Table of Contents
1 INTRODUCTION
1.1 Overview
1.2 Document name and identification
1.2.1 Revisions
1.2.2 Relevant Dates
1.3 PKI Participants
1.3.1 Certification Authorities
1.3.2 Registration Authorities
1.3.3 Subscribers
1.3.4 Relying Parties
1.3.5 Other Participants
1.4 Certificate Usage
1.4.1 Appropriate Certificate Uses
1.4.2 Prohibited Certificate Uses
1.5 Policy administration
1.5.1 Organization Administering the Document
1.5.2 Contact Person
1.5.3 Person Determining CPS suitability for the policy
1.5.4 CPS approval procedures
1.6 Definitions and Acronyms
1.6.1 Definitions
1.6.2 Acronyms
1.6.3 References
1.6.4 Conventions
2 PUBLICATION AND REPOSITORY RESPONSIBILITIES
2.1 Repositories
2.2 Publication of information
2.3 Time or frequency of publication
2.4 Access controls on repositories
3 IDENTIFICATION AND AUTHENTICATION
3.1 Naming
3.1.1 Types of names
3.1.2 Need for names to be meaningful
3.1.3 Anonymity or pseudonymity of subscribers
3.1.4 Rules for interpreting various name forms
3.1.5 Uniqueness of names
3.1.6 Recognition, authentication, and role of trademarks
3.2 Initial identity validation
3.2.1 Method to prove possession of private key
3.2.2 Authentication of Organization and Domain Identity
3.2.2.1 Identity
3.2.2.2 DBA/Tradename
3.2.2.3 Verification of Country
3.2.2.4 Validation of Domain Authorization or Control
3.2.2.5 Authentication for an IP Address
3.2.2.6 Wildcard Domain Validation
3.2.2.7 Data Source Accuracy
3.2.2.8 CAA Records
3.2.3 Authentication of individual identity
3.2.4 Non‐verified subscriber information
3.2.5 Validation of authority
3.2.6 Criteria for Interoperation or Certification
3.3 Identification and authentication for re‐key requests
3.3.1 Identification and authentication for routine re‐key
3.3.2 Identification and authentication for re‐key after revocation
3.4 Identification and authentication for revocation request
4 CERTIFICATE LIFE‐CYCLE OPERATIONAL REQUIREMENTS
4.1 Certificate Application
4.1.1 Who can submit a certificate application
4.1.2 Enrollment process and responsibilities
4.2 Certificate application processing
4.2.1 Performing identification and authentication functions
4.2.2 Approval or rejection of certificate applications
4.2.3 Time to process certificate applications
4.3 Certificate issuance
4.3.1 CA actions during certificate issuance
4.3.2 Notification to subscriber by the CA of issuance of certificate
4.4 Certificate acceptance
4.4.1 Conduct constituting certificate acceptance
4.4.2 Publication of the certificate by the CA
4.4.3 Notification of certificate issuance by the CA to other entities
4.5 Key pair and certificate usage
4.5.1 Subscriber private key and certificate usage
4.5.2 Relying party public key and certificate usage
4.6 Certificate renewal
4.6.1 Circumstance for certificate renewal
4.6.2 Who may request renewal
4.6.3 Processing certificate renewal requests
4.6.4 Notification of new certificate issuance to subscriber
4.6.5 Conduct constituting acceptance of a renewal certificate
4.6.6 Publication of the renewal certificate by the CA
4.6.7 Notification of certificate issuance by the CA to other entities
4.7 Certificate re‐key
4.7.1 Circumstance for certificate re‐key
4.7.2 Who may request certification of a new public key
4.7.3 Processing certificate re‐keying requests
4.7.4 Notification of new certificate issuance to subscriber
4.7.5 Conduct constituting acceptance of a re‐keyed certificate
4.7.6 Publication of the re‐keyed certificate by the CA
4.7.7 Notification of certificate issuance by the CA to other entities
4.8 Certificate modification
4.8.1 Circumstance for certificate modification
4.8.2 Who may request certificate modification
4.8.3 Processing certificate modification requests
4.8.4 Notification of new certificate issuance to subscriber
4.8.5 Conduct constituting acceptance of modified certificate
4.8.6 Publication of the modified certificate by the CA
4.8.7 Notification of certificate issuance by the CA to other entities
4.9 Certificate revocation and suspension
4.9.1 Circumstances for revocation
4.9.1.1 Reasons for Revoking a Subscriber Certificate
4.9.1.2 Reasons for Revoking a Subordinate CA Certificate
4.9.2 Who can request revocation
4.9.3 Procedure for revocation request
4.9.4 Revocation request grace period
4.9.5 Time within which CA must process the revocation request
4.9.6 Revocation checking requirement for relying parties
4.9.7 CRL issuance frequency (if applicable)
4.9.8 Maximum latency for CRLs (if applicable)
4.9.9 On‐line revocation/status checking availability
4.9.10 On‐line revocation checking requirements
4.9.11 Other forms of revocation advertisements available
4.9.12 Special requirements re key compromise
4913 Circumstances for suspension
4.9.14 Who can request suspension
4.9.15 Procedure for suspension request
4.9.16 Limits on suspension period
4.10 Certificate status services
4.10.1 Operational characteristics
4.10.2 Service availability
4.10.3 Optional features
4.11 End of subscription
4.12 Key escrow and recovery
4.12.1 Key escrow and recovery policy and practices
4.12.2 Session key encapsulation and recovery policy and practices
5. MANAGEMENT, OPERATIONAL, AND PHYSICAL CONTROLS
5.1 PHYSICAL SECURITY CONTROLS
5.1.1 Site location and construction
5.1.2 Physical access
5.1.3 Power and air conditioning
5.1.4 Water exposures
5.1.5 Fire prevention and protection
5.1.6 Media storage
5.1.7 Waste disposal
5.1.8 Off‐site backup
5.2 Procedural controls
5.2.1 Trusted roles
5.2.2 Number of Individuals Required per Task
5.2.3 Identification and authentication for each role
5.2.4 Roles requiring separation of duties
5.3 Personnel controls
5.3.1 Qualifications, experience, and clearance requirements
5.3.2 Background check procedures
5.3.3 Training Requirements and Procedures
5.3.4 Retraining frequency and requirements
5.3.5 Job rotation frequency and sequence
5.3.6 Sanctions for unauthorized actions
5.3.7 Independent Contractor Controls
5.3.8 Documentation supplied to personnel
5.4 Audit logging procedures
5.4.1 Types of events recorded
5.4.2 Frequency of processing audit log
5.4.3 Retention period for audit log
5.4.4 Protection of audit log
5.4.5 Audit log backup procedures
5.4.6 Audit collection System (internal vs external)
5.4.7 Notification to event‐causing subject
5.4.8 Vulnerability assessments
5.5 Records archival
5.5.1 Types of records archived
5.5.2 Retention period for archive
5.5.3 Protection of archive
5.5.4 Archive backup procedures
5.5.5 Requirements for time‐stamping of records
5.5.6 Archive collection system (internal or external)
5.5.7 Procedures to obtain and verify archive information
5.6 Key changeover
5.7 Compromise and disaster recovery
5.7.1 Incident and compromise handling procedures
5.7.2 Recovery Procedures if Computing resources, software, and/or data are corrupted
5.7.3 Recovery Procedures after Key Compromise
5.7.4 Business continuity capabilities after a disaster
5.8 CA or RA termination
6 TECHNICAL SECURITY CONTROLS
6.1 Key pair generation and installation
6.1.1 Key pair generation
6.1.1.1 CA Key Pair Generation
6.1.1.2 RA Key Pair Generation
6.1.1.3 Subscriber Key Pair Generation
6.1.2 Private key delivery to subscriber
6.1.3 Public key delivery to certificate issuer
6.1.4 CA public key delivery to relying parties
6.1.5 Key sizes
6.1.6 Public key parameters generation and quality checking
6.1.7 Key usage purposes (as per X509 v3 key usage field)
6.2 Private Key Protection and Cryptographic Module Engineering Controls
6.2.1 Cryptographic module standards and controls
6.2.2 Private key (n out of m) multi‐person control
6.2.3 Private key escrow
6.2.4 Private key backup
6.2.5 Private key archival
6.2.6 Private key transfer into or from a cryptographic module
6.2.7 Private key storage on cryptographic module
6.2.8 Activating Private Keys
6.2.9 Deactivating Private Keys
6.2.10 Destroying Private Keys
6.2.11 Cryptographic Module Capabilities
6.3 Other aspects of key pair management
6.3.1 Public key archival
6.3.2 Certificate operational periods and key pair usage periods
6.4 Activation data
6.4.1 Activation data generation and installation
6.4.2 Activation data protection
6.4.3 Other aspects of activation data
6.5 Computer security controls
6.5.1 Specific computer security technical requirements
6.5.2 Computer security rating
6.6 Life cycle technical controls
6.6.1 System development controls
6.6.2 Security management controls
6.6.3 Life cycle security controls
6.7 Network security controls
6.8 Time‐stamping
7. CERTIFICATE, CRL, AND OCSP PROFILES
7.1 Certificate profile
7.1.1 Version number(s)
7.1.2 Certificate Content and Extensions; Application of RFC 5280
7.1.2.1 Root CA Certificate
7.1.2.2 Subordinate CA Certificate
7.1.2.3 Subscriber Certificate
7.1.2.4 All Certificates
7.1.2.5 Application of RFC 5280
7.1.3 Algorithm object identifiers
7.1.3.1 SubjectPublicKeyInfo
7.1.3.2 Signature AlgorithmIdentifier
7.1.4 Name Forms
7.1.4.1 Name Encoding
7.1.4.2 Subject Information ‐ Subscriber Certificates
7.1.4.3 Subject Information ‐ Root Certificates and Subordinate CA Certificates
7.1.5 Name constraints
7.1.6 Certificate policy object identifier
7.1.6.1 Reserved Certificate Policy Identifiers
7.1.6.2 Root CA Certificates
7.1.6.3 Subordinate CA Certificates
7.1.6.4 Subscriber Certificates
7.1.7 Usage of Policy Constraints extension
7.1.8 Policy qualifiers syntax and semantics
7.1.9 Processing semantics for the critical Certificate Policies extension
7.2 CRL profile
7.2.1 Version number(s)
7.2.2 CRL and CRL entry extensions
7.3 OCSP profile
7.3.1 Version number(s)
7.3.2 OCSP extensions
8. COMPLIANCE AUDIT AND OTHER ASSESSMENTS
8.1 Frequency or circumstances of assessment
8.2 Identity/qualifications of assessor
8.3 Assessor’s relationship to assessed entity
8.4 Topics covered by assessment
8.5 Actions taken as a result of deficiency
8.6 Communication of results
8.7 Self‐Audits
9 OTHER BUSINESS AND LEGAL MATTERS
9.1 Fees
9.1.1 Certificate issuance or renewal fees
9.1.2 Certificate access fees
9.1.3 Revocation or status information access fees
9.1.4 Fees for other services
9.1.5 Refund policy
9.2 Financial responsibility
9.2.1 Insurance coverage
9.2.2 Other assets
9.2.3 Insurance or warranty coverage for end‐entities
9.3 Confidentiality of business information
9.3.1 Scope of confidential information
9.3.2 Information not within the scope of confidential information
9.3.3 Responsibility to protect confidential information
9.4 Privacy of personal information
9.4.1 Privacy plan
9.4.2 Information treated as private
9.4.3 Information not deemed private
9.4.4 Responsibility to protect private information
9.4.5 Notice and consent to use private information
9.4.6 Disclosure pursuant to judicial or administrative process
9.4.7 Other information disclosure circumstances
9.5 Intellectual property rights
9.6 Representations and warranties
9.6.1 CA representations and warranties
9.6.2 RA representations and warranties
9.6.3 Subscriber representations and warranties
9.6.4 Relying party representations and warranties
9.6.5 Representations and warranties of other participants
9.7 Disclaimers of warranties
9.8 Limitations of liability
9.9 Indemnities
9.10 Term and termination
9.10.1 Term
9.10.2 Termination
9.10.3 Effect of termination and survival
9.11 Individual notices and communications with participants
9.12 Amendments
9.12.1 Procedure for amendment
9.12.2 Notification mechanism and period
9.12.3 Circumstances under which OID must be changed
9.13 Dispute resolution provisions
9.14 Governing law
9.15 Compliance with applicable law
9.16 Miscellaneous provisions
9.16.1 Entire agreement
9.16.2 Assignment
9.16.3 Severability
9.16.4 Enforcement (attorneys’ fees and waiver of rights)
9.16.5 Force Majeure
9.17 Other provisions
APPENDIX A – CAA Contact Tag
A.1. CAA Methods
A.1.1. CAA contactemail Property
A.1.2. CAA contactphone Property
A.2. DNS TXT Methods
A.2.1. DNS TXT Record Email Contact
A.2.2. DNS TXT Record Phone Contact
APPENDIX B – Issuance of Certificates for Onion Domain Names参考文献
1.6.3 References
ETSI EN 319 403, Electronic Signatures and Infrastructures (ESI); Trust Service Provider Conformity Assessment - Requirements for conformity assessment bodies assessing Trust Service Providers
ETSI EN 319 411-1, Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements
ETSI TS 102 042, Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates.
FIPS 140-2, Federal Information Processing Standards Publication - Security Requirements For Cryptographic Modules, Information Technology Laboratory, National Institute of Standards and Technology, May 25, 2001.
FIPS 186-4, Federal Information Processing Standards Publication - Digital Signature Standard (DSS), Information Technology Laboratory, National Institute of Standards and Technology, July 2013.
ISO 21188:2006, Public key infrastructure for financial services -- Practices and policy framework.
Network and Certificate System Security Requirements, v.1.0, 1/1/2013.
NIST SP 800-89, Recommendation for Obtaining Assurances for Digital Signature Applications, http://csrc.nist.gov/publications/nistpubs/800-89/SP-800-89_November2006.pdf.
RFC2119, Request for Comments: 2119, Key words for use in RFCs to Indicate Requirement Levels, Bradner, March 1997.
※IPA日本語:RFC において要請の程度を示すために用いるキーワード
RFC2527, Request for Comments: 2527, Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, Chokhani, et al, March 1999.
RFC3492, Request for Comments: 3492, Punycode: A Bootstring encoding of Unicode for Internationalized Domain Names in Applications (IDNA). A. Costello. March 2003.
RFC3647, Request for Comments: 3647, Internet X.509 Public Key Infrastructure: Certificate Policy and Certification Practices Framework, Chokhani, et al, November 2003.
※IPA日本語:インターネット X.509 PKI: 証明書ポリシーと認証実施フレームワーク
RFC3912, Request for Comments: 3912, WHOIS Protocol Specification, Daigle, September 2004.
RFC3986, Request for Comments: 3986, Uniform Resource Identifier (URI): Generic Syntax. T. Berners-Lee, et al. January 2005.
RFC4366, Request for Comments: 4366, Transport Layer Security (TLS) Extensions, Blake-Wilson, et al, April 2006.
RFC5019, Request for Comments: 5019, The Lightweight Online Certificate Status Protocol (OCSP) Profile for High-Volume Environments, A. Deacon, et al, September 2007.
RFC5280, Request for Comments: 5280, Internet X.509 Public Key Infrastructure: Certificate and Certificate Revocation List (CRL) Profile, Cooper et al, May 2008.
※日本語:インターネットX.509 PKI: 証明書と CRL のプロファイル
RFC5890, Request for Comments: 5890, Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework. J. Klensin. August 2010.
RFC5952, Request for Comments: 5952, A Recommendation for IPv6 Address Text Representation. S. Kawamura, et al. August 2010.
RFC8659, Request for Comments: 8659, DNS Certification Authority Authorization (CAA) Resource Record, Hallam-Baker, Stradling, Hoffman-Andrews, November 2019.
RFC6960, Request for Comments: 6960, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP. Santesson, Myers, Ankney, Malpani, Galperin, Adams, June 2013.
RFC6962, Request for Comments: 6962, Certificate Transparency. B. Laurie, A. Langley, E. Kasper. June 2013.
RFC7231, Request For Comments: 7231, Hypertext Transfer Protocol (HTTP/1.1): Semantics and Content, R. Fielding, J. Reschke. June 2014.
RFC7538, Request For Comments: 7538, The Hypertext Transfer Protocol Status Code 308 (Permanent Redirect), J. Reschke. April 2015.
RFC7482, Request for Comments: 7482, Registration Data Access Protocol (RDAP) Query Format, Newton, et al, March 2015.
RFC8499, Request for Comments: 8499, DNS Terminology. P. Hoffman, et al. January 2019.
WebTrust for Certification Authorities, SSL Baseline with Network Security, Version 2.3, available at https://www.cpacanada.ca/-/media/site/business-and-accounting-resources/docs/webtrust/wt-pcca-ss-lbns2-3.pdf.
X.509, Recommendation ITU-T X.509 (10/2012) | ISO/IEC 9594-8:2014 (E), Information technology – Open Systems Interconnection – The Directory: Public-key and attribute certificate frameworks.