ETSI EN 319 412-4 V1.3.1 (2023-09)-2023
Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов
- Стандартный №
- ETSI EN 319 412-4 V1.3.1 (2023-09)-2023
- Дата публикации
- 2023
- Разместил
- European Telecommunications Standards Institute (ETSI)
- сфера применения
-
Обзор стандарта и техническая информация
ETSI EN 319 412-4 V1.3.1 (2023-09) — профессиональный стандарт Европейского института телекоммуникационных стандартов (ETSI) для предоставления сертификатов веб-сайтов. Он является четвёртой частью серии стандартов предоставления сертификатов для электронной подписи и инфраструктуры (ESI). Последняя версия этого стандарта, выпущенная в сентябре 2023 года, направлена на стандартизацию технических требований к сертификатам веб-сайтов, доступ к которым осуществляется по протоколу TLS, при соблюдении строгих требований к квалифицированным сертификатам в соответствии с Регламентом ЕС № 910/2014 (eIDAS).
Техническое развитие этого стандарта началось с его первой версии V1.0.1 в 2015 году. После нескольких пересмотров последняя версия V1.3.1 была утверждена в июне 2023 года. При разработке стандарта были полностью учтены базовые требования и расширенные правила проверки, опубликованные CA/Browser Forum, что позволило эффективно интегрировать европейские стандарты с международной отраслевой практикой.
Классификация политики сертификатов и технические характеристики
Стандарт разделяет сертификаты веб-сайтов на несколько категорий политик в зависимости от уровней проверки и применимых сценариев. Каждая категория соответствует различным техническим требованиям и областям применения:
Тип политики сертификата Применимые объекты Техническая основа Требования соответствия ЕС DVCP/IVCP/OVCP Физические и юридические лица Форум CA/Browser BRG Необязательно EVCP/QEVCP-w Юридические лица Руководство по расширенной проверке EVCG Обязательно (применимо к QEVCP-w) NCP/QNCP-w-gen Физическое лицо и юридическое лицо Стандарт ETSI + Требования к выбору BRG Обязательно (применимо к QNCP-w-gen) QNCP-w Физическое лицо и юридическое лицо Форум CA/Browser BRG Обязательно Существуют значительные различия в технической реализации каждой политики сертификатов: DVCP (Политика сертификата проверки домена) в основном основана на проверке права собственности на доменное имя, в то время как EVCP (Политика сертификата расширенной проверки) требует более строгой проверки личности для юридических лиц. Для сертификатов соответствия ЕС стандарт уделяет особое внимание использованию атрибута organizationIdentifier для обеспечения точности регистрационной информации об издателе и владельце сертификата.
Семантические идентификаторы и механизм аутентификации
Стандарт вводит концепцию семантических идентификаторов, инновационную функцию стандарта ETSI. Согласно требованиям WEB-4.1.1-2 и WEB-4.1.2-2, сертификаты могут содержать один или несколько семантических идентификаторов, обеспечивающих соответствующие семантические определения для идентификации субъекта сертификата.
Сценарии применения семантических идентификаторов включают: Семантический идентификатор юридического лица (WEB-4.1.2-6), идентификацию личности физического лица и т. д. Эти идентификаторы, основанные на положениях главы 5 ETSI EN 319 412-1, предоставляют стандартизированный механизм разрешения идентичности для систем обработки сертификатов, значительно улучшая взаимодействие сертификатов в трансграничных и кросс-системных средах.
Фактический пример применения: Конфигурация сертификата веб-сайта многонационального предприятия
Многонациональному предприятию, работающему в нескольких европейских странах, необходимо развернуть квалифицированный сертификат, соответствующий регламенту eIDAS, для своего официального веб-сайта. Основываясь на стандарте ETSI EN 319 412-4, предприятие выбрало стратегию QEVCP-w. Сертификат содержит:
- Расширенную информацию о проверке на основе EVCG
- Семантический идентификатор юридического лица
- Идентификатор организации (organizationIdentifier)
- Заявления о квалифицированном сертификате ЕС (QCStatements)
Эта конфигурация гарантирует, что сертификат соответствует требованиям законодательства ЕС и остается совместимым с международными стандартами, что позволяет браузерам и клиентам TLS правильно идентифицировать и проверять действительность сертификата.
Особые требования к сертификатам соответствия ЕС
Для сертификатов веб-сайтов, признанных сертификатами соответствия ЕС, стандарт определяет дополнительные технические требования в разделах 4.2 и 4.3:
Категория требований Технические требования Ссылочные стандарты Точки внедрения Заявление о соответствии Должно включать заявления о сертификате соответствия ETSI EN 319 412-5 Требования глав 4 и 5 Идентификатор политики сертификата Должен включать расширения политики сертификата ETSI EN 319 411-2 Глава 5.3 Идентификатор политики Идентификатор организации Идентификаторы эмитента и организаций-субъектов WEB-4.1.2-3 to 5 Значения, отличные от названия организации QCS-4.2-1 явно требует, чтобы сертификаты соответствия ЕС содержали QCStatements. Эти заявления реализованы в соответствии с главами 4 и 5 ETSI EN 319 412-5. В то же время QCS-4.3-1 рекомендует включить идентификатор политики сертификата, определенный в главе 5.3 ETSI EN 319 411-2, в расширение политики сертификата для обеспечения согласованности между политикой сертификата и заявлениями о сертификате соответствия.
Анализ технической совместимости и взаимодействия
Стандарт ETSI EN 319 412-4 был разработан с учетом полной совместимости с существующими международными стандартами. Стандарт явно ссылается на несколько ключевых документов, опубликованных CA/Browser Forum, и развивает их:
- Базовые требования: Основные требования к выпуску и управлению публично доверенными сертификатами
- Руководство по расширенной проверке: Руководство по сертификатам расширенной проверки
- Протокол TLS: Протокол безопасности транспортного уровня, определенный в IETF RFC 5246
Такая конструкция совместимости гарантирует, что сертификаты, выпущенные в соответствии со стандартами ETSI, могут быть правильно распознаны и обработаны основными браузерами и реализациями TLS по всему миру. В частности, стандарт поддерживает тесное соответствие требованиям CA/Browser Forum в отношении обработки ключевых полей, таких как расширение subjectAltName и extKeyUsage.
Стандартные рекомендации по внедрению и передовой опыт
На основе технических требований ETSI EN 319 412-4 V1.3.1 для центров сертификации и поставщиков услуг предоставляются следующие рекомендации по внедрению:
1. Руководство по выбору политики
Выберите подходящую политику сертификации на основе целевых пользователей и требований соответствия:
- Обычные коммерческие веб-сайты: выберите политики OVCP или NCP, сбалансировав безопасность и стоимость
- Финансовые учреждения/правительственные веб-сайты: отдайте приоритет политикам EVCP или QEVCP-w
- Квалифицированные услуги в пределах ЕС: необходимо выбрать политики QEVCP-w, QNCP-w-gen или QNCP-w
2. Ключевые моменты технической реализации
- Убедитесь, что сертификаты содержат необходимые семантические идентификаторы, особенно для сертификатов юридических лиц
- Правильно реализуйте атрибут organizationIdentifier, чтобы избежать дублирования с organizationName
- Сертификаты соответствия ЕС должны содержать полные QCStatements и идентификаторы политики сертификата
- Следуйте конкретным требованиям BRG и EVCG к полям и расширениям сертификата
3. Проверка соответствия
Создайте полный процесс управления жизненным циклом сертификата, включая:
- Проверку соответствия политике перед выдачей сертификата
- Техническую проверку содержимого сертификата
- Регулярные аудиты и оценки соответствия
- Соответствие требованиям безопасности серии стандартов ETSI EN 319 411
Следуя этим рекомендациям по внедрению, организации могут гарантировать, что сертификаты их веб-сайтов соответствуют как техническим требованиям, так и соответствующим законам и нормативным актам, создавая надежный механизм аутентификации в экосистеме цифрового доверия.
