S/MIME sertifika profilleri

Bu makalede, şifreli veya S/MIME imzalı e-postalarda kullanıma yönelik güvenilir bir sertifika olarak kabul edilebilmesi için X.509 zincirindeki her bir sertifikanın yerine getirmesi gereken şartlar açıklanmaktadır.

Bu şartlara ek olarak zincirin, Google tarafından bu amaç doğrultusunda açık olarak güvenilir kabul edilen bir Sertifika Yetkilisi'ne (CA) bağlanması gereklidir. Güvendiğiniz CA'lara ait kök sertifikaları da kabul edebilirsiniz. Daha fazla bilgi için kök sertifika yönergeleri sayfasına gidin.

Notlar:

  • Google, Gmail'in S/MIME için güvenilir kabul ettiği CA sertifikalarının listesini sağlar ve bu listeyi güncel tutar. Listelenen CA'lara güvenip güvenmeme kararı yalnızca Google'ın takdirine bağlıdır. Google herhangi bir zamanda, bildirimde bulunmaksızın kök CA'ları kaldırma hakkını saklı tutar.
  • Yüklenen uzantıların aynı sertifikadaki farklı uzantılarla çelişmediğinden emin olun. Örneğin, nsCertTypes tanımlanmışsa, bunların anahtar kullanımı uzantısı, uzatılmış anahtar kullanımı uzantısı ve temel kısıtlamalar uzantısıyla tam olarak aynı kullanımları kapsaması gerekir.

Sertifika zinciri kuralları

Kök CA

Alan Değer

Sertifikayı veren DN

CA'yı tanımlaması zorunludur.

Örneğin, DN'nin değeri "Sertifika Yetkilisi" gibi genel bir değer olamaz.

Konu DN

Kodlanmış biçimin her bir baytının, Sertifikayı veren DN'nin her bir baytıyla birebir aynı olması zorunludur.

Konunun Ortak Anahtar Bilgisi

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. secp256r1 veya secp384r1 kullanan ecPublicKey.

Sertifikayı veren ara CA dışındaki ara CA sertifikaları

Bu bilgiyi, kök ve son varlık arasında, doğrudan veya dolaylı olarak birden fazla Ara CA varsa kullanın.

Sertifikayı veren ara CA, son varlık sertifikasını veren ara CA'dır. Bu bölüm, sertifikayı veren ara CA'nın dışında zincirdeki tüm ara CA'lar için geçerlidir.

Alan Değer
Sürüm Sürüm 3
Seri Numarası Sıfırdan (0) büyük olmalıdır. Bir TAM SAYI olarak DER kodlamasına sahipse, 20 bayt veya bunun altında olması gerekir.
İmza Algoritması SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA.
Sertifikayı veren DN

Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur.
Geçerlilik Süresi Bir koşul belirlenmemiştir
Konu DN Bir koşul belirlenmemiştir
Konunun Ortak Anahtar Bilgisi

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey
Uzantı Varlık (Presence) Kritik Değer
Anahtar Kullanımı Zorunlu Evet

keyCertSign için bit konumlarının ayarlanması zorunludur.
Başka bit konumları da ayarlanabilir.
Temel Kısıtlamalar Zorunlu Evet cA alanı true olarak ayarlanmalıdır
pathLenConstraint alanı mevcut olmalıdır
CRL Dağıtım Noktaları Zorunlu Hayır

En az bir tane herkes tarafından erişilebilen HTTP
uniformResourceIdentifier mevcut olmalıdır.
(not) İptal sunucuları,Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olmalıdır:
  • 4.9.7. CRL Sertifika Verme Sıklığı
  • 4.9.9. İnternet Üzerinden Sertifika İptali/Durum Kontrolü Kullanılabilirliği

  • 4.9.10. İnternet Üzerinden Sertifika İptali Kontrol Gereksinimleri
    4.10.2 Hizmet Kullanılabilirliği
Diğer uzantılar Mevcut olabilir

Son varlık için sertifika veren ara CA sertifikası

Önemli: Zincirde en az bir ara CA sertifikası bulunmalıdır. Bir başka deyişle, kök CA doğrudan son varlık sertifikaları vermemelidir.

Alan Değer
Sürüm Sürüm 3
Seri Numarası Sıfırdan (0) büyük olması ve bir TAM SAYI olarak DER kodlamasına sahipse, 20 bayt veya bunun altında olması zorunludur.
İmza Algoritması

SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA.
Sertifikayı veren DN

Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur.
Geçerlilik Süresi

notBefore ve notAfter arasındaki fark

10 yıldan uzun olmaması tercih edilir ve 20 yıldan uzun olmamalıdır.
Konu DN

CA'nın kullanım amacını belirtmesi gerekir.
Konunun Ortak Anahtar Bilgisi

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey
Uzantı Varlık (Presence) Kritik Değer
Anahtar Kullanımı Zorunlu Evet

Aşağıdaki öğe için bit konumlarının ayarlanması zorunludur:
keyCertSign
Aşağıdaki öğeler için bit konumu ayarlanabilir:
cRLSign
digitalSignature
Doğrudan OCSP yanıtlarının imzalanması için kullanılıyorsa aşağıdaki öğenin mevcut olması zorunludur:
digitalSignature

Diğer bit konumları ayarlanmamalıdır
Uzatılmış Anahtar Kullanımı Zorunlu Her iki durumda da Aşağıdaki öğe mevcut olmalıdır:
emailProtection
Aşağıdaki öğeler mevcut olmamalıdır:
serverAuth
codeSigning
timeStamping
anyExtendedKeyUsage

Temel Kısıtlamalar

 Zorunlu Evet

cA alanı true olarak ayarlanmalıdır
pathLenConstraint alanı mevcut OLMALIDIR ve değeri 0 OLMALIDIR
Sertifika Politikaları İsteğe bağlı Hayır

CA'nın bağlı olduğu politikayı tanımlayan bir policyIdentifier'ın tanımlanması ve bunun değerinin anyPolicy olmaması GEREKİR.
cps'nin (mevcutsa), geçerli bir HTTP veya HTTPS bağlantısı içermesi zorunludur.
CRL Dağıtım Noktaları Zorunlu Hayır

En az bir tane herkes tarafından erişilebilen HTTP
uniformResourceIdentifier mevcut olmalıdır.
(not)

İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olarak işletilmelidir:

  • 4.9.7. CRL Sertifika Verme Sıklığı
  • 4.9.9. İnternet Üzerinden Sertifika İptali/Durum Kontrolü Kullanılabilirliği
  • 4.9.10. İnternet Üzerinden Sertifika İptali Kontrol Gereksinimleri
  • 4.10.2. Hizmet Kullanılabilirliği
Diğer uzantılar İsteğe bağlı Hayır

Mevcut olabilir.

Son varlık sertifikası

Alan Değer
Sürüm Sürüm 3
Seri Numarası

Sıfırdan (0) büyük olması ve tahmin edilemeyen en az 64 bit içermesi zorunludur.

Not: CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası son varlık seri numarası entropi gereksinimlerini yansıtacak şekilde güncellenecektir.
İmza Algoritması SHA‐256, SHA‐384 veya SHA‐512'ye sahip RSA. Alternatif olarak, SHA‐256, SHA‐384 veya SHA‐512'ye sahip ECDSA.
Sertifikayı veren DN

Her bir baytının, Sertifikayı veren DN'nin Konu DN'sinin her bir baytıyla birebir aynı olması zorunludur.
Geçerlilik Süresi

notBefore ve notAfter arasındaki fark 27 aydan uzun olmamalıdır.

notBefore zamanının, imza saatinden 48 saat öncesine veya sonrasına kadar olan bir zaman dilimini temsil ediyor olması zorunludur.
Konu DN

E-posta adresi haricinde tüm Konuyla Bağlantılı Ayırt Edici Adların, sertifikanın verilmesinden önce, kamuya açık şekilde belgelenmiş ve denetlenmiş bir prosedür kullanılarak titiz şekilde doğrulanmış olması zorunludur. Kabul edilen prosedürle ilgili bilgilere Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde, 3.2.3 numaralı bölümden ulaşabilirsiniz.

Tüm e-posta adreslerinin (ör. commonName veya emailAddress alanlarındakiler), bir rfc822Name olarak Konu Alternatif Adı uzantısında da mevcut olması zorunludur.
Konunun Ortak Anahtar Bilgisi

RSA modülü 2048, 3072 veya 4096 olan rsaEncryption. Alternatif olarak, secp256r1 veya secp384r1 kullanan ecPublicKey
Uzantı Varlık (Presence) Kritik Değer
Anahtar Kullanımı (RSA) Zorunlu Evet

Bit konumlarının aşağıdakilerden biri için ayarlanması zorunludur:
digitalSignature
ve/veya
nonRepudiation/contentCommitment
Bit konumları aşağıdakiler için ayarlanabilir:
dataEncipherment
keyEncipherment

Diğer bit konumları ayarlanmamalıdır.
Anahtar Kullanımı (ECDH) Zorunlu

Bit konumlarının aşağıdakiler için ayarlanması zorunludur:
digitalSignature
Bit konumları aşağıdakiler için ayarlanabilir:
nonRepudiation/contentCommitment
keyAgreement
encipherOnly (keyAgreement ayarlanmışsa)
decipherOnly (keyAgreement ayarlanmışsa)

Diğer bit konumları ayarlanmamalıdır.
Uzatılmış Anahtar Kullanımı Zorunlu Her iki durumda da

Aşağıdaki öğe mevcut olmalıdır:
emailProtection
Aşağıdaki öğeler mevcut olmamalıdır:
serverAuth
codeSigning
timeStamping
anyExtendedKeyUsage

Temel Kısıtlamalar

 İsteğe bağlı Her iki durumda da

Mevcut olduğunda, cA alanı true olarak ayarlanmamalıdır
pathLenConstraint alanı mevcut olmamalıdır
Sertifika Politikaları Zorunlu Hayır

Mevcut olmalıdır: Sertifikanın verildiği politikayı tanımlayan bir policyIdentifier sağlanmalı ve bu, anyPolicy olmamalıdır.

Mevcut olabilir: cps (mevcutsa), sertifikanın verildiği CPS'ye yönelik geçerli bir HTTP veya HTTPS bağlantısı içermelidir.

Yetkili Bilgi Erişimi

 İsteğe bağlı Hayır

caIssuers ve varsa ocsp'nin genel olarak erişilebilen en az bir tane HTTP uniformResourceIdentifier içermesi zorunludur.

AccessDescription, belirli bir sertifikaya özgü etiket veya parametreler içermemelidir.
CRL Dağıtım Noktaları Zorunlu Hayır

En az bir tane herkes tarafından erişilebilen
HTTPuniformResourceIdentifier mevcut olmalıdır.

(not)

İptal sunucuları, Genel Kullanım Amaçlı Güvenilir Sertifikaların Verilmesi ve Yönetimi ile ilişkili CA/Tarayıcı Forumu Temel Gereksinimler Sertifika Politikası'nın 1.3.2 veya daha sonraki bir sürümünde yer alan aşağıdaki bölümlere uygun olarak işletilmelidir:

  • 4.9.7. CRL Sertifika Verme Sıklığı
  • 4.9.9. İnternet Üzerinden Sertifika İptali/Durum Kontrolü Kullanılabilirliği
  • 4.9.10. İnternet Üzerinden Sertifika İptali Kontrol Gereksinimleri
  • 4.10.2. Hizmet Kullanılabilirliği

Konu Alternatif Adı

 Zorunlu Hayır

rfc822Name türünde en az bir öğe içermesi zorunludur.
Aşağıdaki türlerde öğeler içermemelidir:
dNSName
iPAddress
uniformResourceIdentifier
Her rfc822Name, isteği gönderen tüzel kişinin e-posta adresiyle ilişkili e-posta hesabını kontrol ettiğinden veya e-posta hesabı sahibi tarafından hesap sahibi adına hareket etmesi için yetkilendirildiğinden emin olmak amacıyla herkese açık olarak belgelenmiş ve denetlenmiş önlemlerle doğrulanmalıdır.

Diğer uzantılar

 İsteğe bağlı Hayır Mevcut olabilir.