Dit artikel beschrijft de vereisten waaraan elk certificaat in een X.509-keten moet voldoen om te worden vertrouwd voor gebruik met versleutelde of S/MIME-ondertekende e-mail.
Naast deze vereisten moet de certificaatketen verankerd zijn aan een certificaat van een certificeringsinstantie (CA) dat expliciet door Google voor dit doel wordt vertrouwd. U kunt er ook voor kiezen om rootcertificaten te accepteren van CA's die u vertrouwt. Ga voor meer informatie naar de richtlijnen voor rootcertificaten .
Opmerkingen :
- Google levert en beheert een lijst met CA-certificaten die door Gmail worden vertrouwd voor S/MIME. De betrouwbaarheid van deze lijst is volledig naar eigen inzicht van Google. Google behoudt zich het recht voor om op elk moment en zonder voorafgaande kennisgeving root-CA's te verwijderen.
- Zorg ervoor dat geïnstalleerde extensies elkaar niet tegenspreken in hetzelfde certificaat. Als er bijvoorbeeld nsCertTypes zijn gedefinieerd, moeten deze exact dezelfde toepassingen dekken als de extensie voor sleutelgebruik, de extensie voor uitgebreid sleutelgebruik en de extensie voor basisbeperkingen.
Regels voor de certificaatketen
Root CA
| Veld | Waarde |
|---|---|
Uitgever DN | Het CA-nummer moet worden geïdentificeerd. De DN mag bijvoorbeeld geen generieke waarde zijn zoals "Certificaatinstantie". |
Onderwerp DN | De gecodeerde vorm moet byte voor byte identiek zijn aan het Issuer DN. |
Onderwerp Openbare sleutelinformatie | rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1 . |
Tussenliggende CA-certificaten, anders dan die van de uitgevende tussenliggende CA.
Gebruik deze informatie als er meer dan één tussenliggende CA (Certificate Authority) is tussen de root- en de eindentiteit, direct of indirect.
De uitgevende intermediaire CA is de intermediaire CA die het certificaat voor de eindgebruiker uitgeeft. Dit gedeelte is van toepassing op alle intermediaire CA's in de keten, met uitzondering van de uitgevende intermediaire CA.
| Veld | Waarde | ||
|---|---|---|---|
| Versie | Versie 3 | ||
| Serienummer | Moet groter zijn dan nul (0). Wanneer DER gecodeerd is als een INTEGER, moet het kleiner dan of gelijk aan 20 bytes zijn. | ||
| Handtekeningalgoritme | RSA met SHA-256 , SHA-384 of SHA-512 . Of ECDSA met SHA-256 , SHA-384 of SHA-512 | ||
| Uitgever DN | Moet byte voor byte identiek zijn aan de Subject DN van de uitgevende CA. | ||
| Geldigheidsperiode | Geen voorwaarde | ||
| Onderwerp DN | Geen voorwaarde | ||
| Onderwerp Openbare sleutelinformatie | rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1. | ||
| Verlenging | Aanwezigheid | Kritisch | Waarde |
| Belangrijkste gebruik | Vereist | Ja | Bitposities moeten worden ingesteld voor: keyCertSign |
| Basisbeperkingen | Vereist | Ja | Het cA-veld moet op 'waar' worden ingesteld. Het veld pathLenConstraint moet aanwezig zijn. |
| CRL-distributiepunten | Vereist | Nee | Ten minste één publiekelijk toegankelijke HTTP-server |
| (opmerking) | Intrekkingsservers moeten voldoen aan de volgende onderdelen van het CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates, versie 1.3.2 of hoger:
| ||
| Eventuele andere uitbreidingen | Kan aanwezig zijn | ||
Tussenliggend CA-certificaat dat door de eindgebruiker wordt uitgegeven.
Belangrijk : Er moet ten minste één intermediair CA-certificaat in de certificaatketen aanwezig zijn. Dat wil zeggen dat de root-CA geen eindgebruikerscertificaten rechtstreeks mag uitgeven.
| Veld | Waarde | ||
|---|---|---|---|
| Versie | Versie 3 | ||
| Serienummer | Moet groter zijn dan nul (0) en, indien DER-gecodeerd als een INTEGER, kleiner dan of gelijk aan 20 bytes zijn. | ||
| Handtekeningalgoritme | RSA met SHA-256 , SHA-384 of SHA-512 . Of ECDSA met SHA-256 , SHA-384 of SHA-512 . | ||
| Uitgever DN | Moet byte voor byte identiek zijn aan de Subject DN van de uitgevende CA. | ||
| Geldigheidsperiode | Verschil tussen notBefore en notAfter De looptijd mag niet langer zijn dan 10 jaar en niet langer dan 20 jaar. | ||
| Onderwerp DN | Het gebruik van de CA moet worden aangegeven. | ||
| Onderwerp Openbare sleutelinformatie | rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1. | ||
| Verlenging | Aanwezigheid | Kritisch | Waarde |
| Belangrijkste gebruik | Vereist | Ja | De bitposities moeten worden ingesteld voor: Andere bitposities mogen niet worden ingesteld. |
| Uitgebreid sleutelgebruik | Vereist | Of | Aanwezigheid is verplicht: e-mailbeveiliging Mag niet aanwezig zijn: serverAuth codeondertekening tijdstempelen elk uitgebreid sleutelgebruik |
Basisbeperkingen | Vereist | Ja | Het cA-veld moet op 'waar' worden ingesteld. |
| Certificaatbeleid | Optioneel | Nee | Er MOET een policyIdentifier worden opgegeven die het beleid identificeert waaronder de CA opereert, en MAG GEEN anyPolicy zijn. |
| CRL-distributiepunten | Vereist | Nee | Ten minste één publiekelijk toegankelijke HTTP-server |
| (opmerking) | Intrekkingsservers moeten worden beheerd in overeenstemming met de volgende secties van het CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates , versie 1.3.2 of hoger:
| ||
| Eventuele andere uitbreidingen | Optioneel | Nee | Mogelijk aanwezig. |
Eindentiteitscertificaat
| Veld | Waarde | ||
|---|---|---|---|
| Versie | Versie 3 | ||
| Serienummer | Moet groter zijn dan nul (0) en moet minstens 64 onvoorspelbare bits bevatten. Opmerking: Wordt bijgewerkt om te voldoen aan de basisvereisten van het CA/Browser Forum voor certificaatbeleid met betrekking tot de entropie van serienummers van eindgebruikers. | ||
| Handtekeningalgoritme | RSA met SHA-256 , SHA-384 of SHA-512 . Of ECDSA met SHA-256 , SHA-384 of SHA-512 . | ||
| Uitgever DN | Moet byte voor byte identiek zijn aan de Subject DN van de uitgevende CA. | ||
| Geldigheidsperiode | Het verschil tussen notBefore en notAfter mag niet langer zijn dan 27 maanden. De notBefore-tijd moet het tijdstip van ondertekening plus of minus 48 uur zijn. | ||
| Onderwerp DN | Alle subjectgerelateerde onderscheidende namen, met uitzondering van e-mailadressen, moeten vóór uitgifte grondig worden gevalideerd met behulp van een openbaar gedocumenteerde en gecontroleerde procedure. Raadpleeg sectie 3.2.3 "Authenticatie van individuele identiteit" van het CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates , versie 1.3.2 of hoger, voor een acceptabele procedure. Alle e-mailadressen (bijvoorbeeld in de velden commonName of emailAddress) moeten ook aanwezig zijn in de Subject Alternate Name-extensie als een rfc822Name. | ||
| Onderwerp Openbare sleutelinformatie | rsaEncryption met een RSA-modulus van 2048, 3072 of 4096. Of ecPublicKey met secp256r1 of secp384r1. | ||
| Verlenging | Aanwezigheid | Kritisch | Waarde |
| Sleutelgebruik (RSA) | Vereist | Ja | De bitposities moeten voor beide worden ingesteld: Andere bitposities mogen niet worden ingesteld. |
| Kerngebruik (ECDH) | Vereist | De bitposities moeten worden ingesteld voor: Andere bitposities mogen niet worden ingesteld. | |
| Uitgebreid sleutelgebruik | Vereist | Of | Aanwezigheid is verplicht: |
Basisbeperkingen | Optioneel | Of | Indien aanwezig, mag het veld cA niet op 'waar' worden ingesteld. |
| Certificaatbeleid | Vereist | Nee | Vereist: Er moet een policyIdentifier worden opgegeven die het beleid identificeert waaronder het certificaat is uitgegeven, en deze mag geen anyPolicy zijn. Mogelijk aanwezig: cps , indien aanwezig, moet een geldige HTTP- of HTTPS-link bevatten naar de CPS waaronder het certificaat is uitgegeven. |
Toegang tot informatie van de autoriteit | Optioneel | Nee | caIssuers en, indien aanwezig, ocsp , moeten ten minste één publiekelijk toegankelijke HTTP uniformResourceIdentifier bevatten. AccessDescription mag geen labels of parameters bevatten die specifiek zijn voor een individueel certificaat. |
| CRL-distributiepunten | Vereist | Nee | Ten minste één openbaar toegankelijke |
(opmerking) | Intrekkingsservers moeten werken in overeenstemming met de volgende secties van het CA/Browser Forum Baseline Requirements Certificate Policy for the Issuance and Management of Publicly-Trusted Certificates , versie 1.3.2 of hoger:
| ||
Alternatieve onderwerpnaam | Vereist | Nee | Moet ten minste één item van het type rfc822Name bevatten. |
Eventuele andere uitbreidingen | Optioneel | Nee | Mogelijk aanwezig. |