ETSI EN 319 412-4-2021 Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов - Стандарты и спецификации PDF

ETSI EN 319 412-4-2021
Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов

Стандартный №
ETSI EN 319 412-4-2021
Дата публикации
2021
Разместил
European Telecommunications Standards Institute (ETSI)
состояние
 2023-09
быть заменен
ETSI EN 319 412-4-2023
Последняя версия
ETSI EN 319 412-4-2024
 
сфера применения

Обзор стандарта и техническая база

ETSI EN 319 412-4 V1.2.1 (2021-11) — это стандарт профиля сертификата веб-сайта, выпущенный Европейским институтом стандартизации в области телекоммуникаций. Он является четвёртой частью серии профилей сертификатов для электронной подписи и инфраструктуры (ESI). Этот стандарт основан на фреймворках сертификатов открытых ключей Международного союза электросвязи (ITU X.509) и ISO/IEC 9594-8 и объединяет базовые требования (BRG) и расширенные рекомендации по проверке (EVCG) CA/Browser Forum, предоставляя унифицированные спецификации конфигурации для сертификатов веб-сайтов по протоколу TLS.

Основной предпосылкой для разработки стандарта являются требования к реализации Регламента eIDAS (№ 910/2014) ЕС, который заменяет Директиву 1999/93/EC и выдвигает более высокие требования к доверительным сервисам в электронных транзакциях. По мере развертывания инфраструктуры цифровых сертификатов в Европе и во всем мире существуют различия в совместимости различных решений по реализации сертификатов. Настоящий стандарт направлен на максимизацию совместимости систем выпуска и использования сертификатов.

Классификация политик сертификатов и технические требования

Стандарт разделяет политики сертификатов на несколько категорий в зависимости от уровня проверки и применяемых объектов. Каждая политика соответствует различным техническим требованиям и стандартам соответствия.

Тип политики сертификатаПрименимые объектыТехническая основаСпециальные требованияУровень соответствия
DVCP/IVCP/OVCPПроверка доменного имениБазовые требования BRGЗапрет на включение атрибутов физического/юридического лицаБазовый уровень
EVCPЮридическое лицоРасширенная проверка EVCGСодержит семантический идентификаторРасширенный Уровень
QEVCP-wЮридическое лицоСертификат соответствия EVCG+EUДолжен содержать QCStatementsУровень соответствия ЕС
NCPФизическое лицоEN 319 412-2Соответствует некоторым требованиям BRGБазовый уровень
QNCP-wФизическое лицоEN 319 412-2+EU QualifiedДолжен содержать QCStatementsКвалифицировано ЕС Уровень

Для сертификатов DVCP, IVCP и OVCP стандарт требует, чтобы все поля и расширения сертификата полностью соответствовали Базовым требованиям CA/Browser Forum (BRG) для пользовательских сертификатов. Особо следует отметить, что согласно разделу BRG 7.1.6.4 реализации, соответствующие Политике проверки сертификатов с проверкой домена 2.23.140.1.2.1, НЕ ДОЛЖНЫ включать какие-либо атрибуты, относящиеся к физическим или юридическим лицам.

Сертификаты EVCP и QEVCP-w предназначены для юридических лиц и должны соответствовать всем требованиям Руководства по расширенной проверке EVCG. Между тем, как сертификат, соответствующий требованиям ЕС, сертификат QEVCP-w также должен соответствовать определенным поправкам к пунктам 4.2 и 4.3. Оба типа сертификатов могут содержать один или несколько семантических идентификаторов для предоставления соответствующих семантических определений для определения идентичности субъекта сертификата.

Особые требования к сертификатам, соответствующим требованиям ЕС

Для сертификатов веб-сайтов, выдаваемых как сертификаты, соответствующие требованиям ЕС, стандарт устанавливает дополнительные технические требования для обеспечения соответствия правилам eIDAS.

Требования к QCStatements

Согласно пункту 4.2, когда сертификат выдается как сертификат, соответствующий требованиям ЕС, он должен включать QCStatements, как указано в пунктах 4 и 5 стандарта ETSI EN 319 412-5. Эти заявления предоставляют формальное доказательство соответствия сертификата и являются ключевым техническим показателем соответствия правилам eIDAS.

Требования к идентификатору политики сертификата

В пункте 4.3 указано, что сертификаты, соответствующие требованиям ЕС, должны содержать один из идентификаторов политики сертификата, определенных в пункте 5.3 стандарта ETSI EN 319 411-2 в расширении политики сертификата. Эти идентификаторы политики должны соответствовать декларациям сертификатов, соответствующих требованиям ЕС, согласно пункту 4.2, обеспечивая единообразие и проверяемость во всей экосистеме сертификатов.

Технические аспекты внедрения и анализ случаев

Особые положения для сертификатов NCP и QNCP-w

Для сертификатов, соответствующих политике NCP или QNCP-w, стандарт устанавливает иерархические требования к внедрению:

  • NCP-w-1: Если сертификат выдан физическому лицу, должны применяться требования пункта 4.2 ETSI EN 319 412-2
  • NCP-w-2: Если сертификат выдан юридическому лицу, должны применяться требования пункта 4.2 ETSI EN 319 412-3
  • NCP-w-3: Должны применяться требования к профилю сертификата, указанные в разделе 7.1 BRG, но с некоторыми корректировками

В конкретном применении требований BRG стандарт сделал Адаптивные изменения некоторых пунктов. Например, требования к идентификаторам политики сертификатов устраняют необходимость для выпускающего центра сертификации подтверждать соответствие требованиям BRG; а в отношении ограничений на размер сертификата ограничения IETF RFC 5280 смягчены в соответствии с EN 319 412-2 и EN 319 412-3. Стандарт позволяет сертификатам IVCP, OVCP, EVCP, QEVCP-w, NCP и QNCP-w содержать один или несколько семантических идентификаторов, которые предоставляют семантические определения для определения идентичности субъекта сертификата в соответствии с пунктом 5 стандарта ETSI EN 319 412-1. На практике это помогает решить проблему различий в стандартах идентификации в разных юрисдикциях.

Эволюция стандарта и история версий

Стандарт ETSI EN 319 412-4 развивался в нескольких версиях:

  • V1.0.1 (2015-07): Впервые опубликовано как ETSI TS 119 412-4
  • V1.1.1 (2016-02): Официально выпущенная версия
  • V1.2.0 (2021-08): Процесс утверждения EN, включая альтернативные профили сертификатов на основе ETSI EN 319 412-3 и базового уровня CABF
  • V1.2.1 (2021-11): Текущая действующая версия

Запрос на изменение версии 1.1.4 (CR) в июле 2021 года стал ключевым техническим поворотным моментом, внедрение стандарта ETSI EN 319 412-4, основанного на базовых стандартах CABF. 412-3 и CABF, что отражает сбалансированный учет международной совместимости и специфических потребностей ЕС в процессе установления стандартов.

Рекомендации по внедрению и передовой опыт

Стратегия выбора политики сертификации

Внедряющие агентства должны выбирать соответствующие политики сертификации на основе бизнес-потребностей и требований соответствия:

  • Базовая проверка веб-сайта: выберите политику DVCP, сосредоточившись на экономической эффективности и быстром развертывании
  • Приложения уровня предприятия: выберите политику OVCP или EVCP для обеспечения более высокого уровня подтверждения личности
  • Бизнес, соответствующий требованиям ЕС: необходимо выбрать политику QEVCP-w или QNCP-w для обеспечения соответствия правилам eIDAS

Технические аспекты внедрения

В процессе технической реализации особое внимание следует уделить следующим моментам:

  • Обеспечение проверки согласованности между идентификаторами политики сертификации и QCStatements
  • Реализация правильного кодирования и Анализ семантических идентификаторов
  • Создание комплексного процесса управления жизненным циклом сертификатов
  • Регулярный аудит соответствия реализации сертификата стандартным требованиям

Контрольный список соответствия

Для обеспечения соответствия реализации сертификата рекомендуется установить следующие механизмы проверки:

  • Проверка целостности полей и расширений сертификата
  • Проверка корректности идентификаторов политики
  • Проверка наличия и действительности QCStatements
  • Правильное применение семантических идентификаторов
  • Тестирование совместимости с соответствующими стандартами (например, RFC 5280)

Благодаря систематическому подходу к внедрению стандарт ETSI EN 319 412-4 может обеспечить надежную техническую основу для различных типов сертификатов веб-сайтов, обеспечивая взаимодействие и безопасность в ЕС и международной среде.

ETSI EN 319 412-4-2021 История

  • 2024 ETSI EN 319 412-4-2024 Электронные подписи и инфраструктуры доверия (ЭПИ); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов
  • 2023 ETSI EN 319 412-4-2023 Электронные подписи и инфраструктуры (ЕСИ); Проfiles сертификатов; Часта 4: Профиль сертификата для сертификатов сайтов
  • 2021 ETSI EN 319 412-4-2021 Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов
  • 2016 ETSI EN 319 412-4:2016 Электронные подписи и инфраструктура (ESI); Профили сертификатов; Часть 4. Профиль сертификата для сертификатов веб-сайтов (V1.1.1)
  • 2015 ETSI EN 319 412-4:2015 Электронные подписи и инфраструктура (ESI); Профили сертификатов; Часть 4. Профиль сертификата для сертификатов веб-сайтов (V1.1.0)
Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов

стандарты и спецификации

ETSI EN 319 412-4 V1.3.1 (2023-09)-2023 Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов DANSK DS/ETSI EN 319 412-4 V1.2.1:2021 Электронные подписи и инфраструктура (ESI); Профили сертификатов; Часть 4. Профиль сертификата для сертификатов веб-сайта. DANSK DS/ETSI EN 319 412-4 V1.3.1:2023 Электронные подписи и инфраструктура (ESI); Профили сертификатов; Часть 4. Профиль сертификата для сертификатов веб-сайта. ETSI EN 319 412-4 V1.2.1 (2021-11)-2021 Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов ETSI EN 319 412-4-2024 Электронные подписи и инфраструктуры доверия (ЭПИ); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов ETSI EN 319 412-4 V1.3.2 (2024-11)-2024 Электронные подписи и инфраструктуры доверия (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов ETSI EN 319 412-4 V1.4.0 (2025-03)-2025 Электронные подписи и инфраструктуры доверия (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов ETSI EN 319 412-4 V1.1.1 (2016-02)-2016 Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов DIN EN 319412-4:2022-04 Электронные подписи и инфраструктуры (ESI). Профили сертификатов. Часть 4. Профиль сертификата для сертификатов веб-сайтов.


© 2025. Все права защищены.