ETSI EN 319 412-4 V1.4.0 (2025-03)-2025 Электронные подписи и инфраструктуры доверия (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов - Стандарты и спецификации PDF

ETSI EN 319 412-4 V1.4.0 (2025-03)-2025
Электронные подписи и инфраструктуры доверия (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов

Стандартный №
ETSI EN 319 412-4 V1.4.0 (2025-03)-2025
Дата публикации
2025
Разместил
European Telecommunications Standards Institute (ETSI)
 
сфера применения

Обзор стандарта и предпосылки разработки

ETSI EN 319 412-4 V1.4.0 (2025-03) — это стандарт профиля сертификата веб-сайта, опубликованный Европейским институтом стандартизации электросвязи (ETSI). Он является ключевым компонентом набора стандартов электронной подписи и инфраструктуры доверия (ESI). Основанный на международном стандарте ITU-T X.509 | ISO/IEC 9594-8 и включающий требования Регламента ЕС № 910/2014 (eIDAS), этот стандарт направлен на стандартизацию требований к формату и содержанию сертификатов веб-сайтов, используемых с протоколом TLS.

Разработка этого стандарта обусловлена быстрым развитием электронной подписи и служб доверия в ЕС, а также расширенными рекомендациями по сертификатам проверки и базовыми требованиями, опубликованными CA/Browser Forum. Унифицируя профиль сертификата, стандарт обеспечивает взаимодействие между различными органами сертификации и системами проверки, одновременно выполняя требования законодательства ЕС к соответствующим сертификатам.

Классификация политики сертификатов и технические требования

Стандарт определяет различные типы политики сертификатов, каждая политика соответствует различным уровням проверки и техническим требованиям:

Тип политики сертификата Применимые объекты Уровень проверки Основные технические стандарты Поддержка квалифицированных сертификатов ЕС
DVCP Проверка доменного имени Базовая проверка BRG [2] Не поддерживается
IVCP Персональный Проверка Промежуточная проверка BRG [2] Необязательно
OVCP Проверка организации Промежуточная проверка BRG [2] Необязательно
EVCP Расширенная проверка Расширенная проверка EVCG [3] Поддерживается
QEVCP-w Юридическое лицо Наивысшая проверка EVCG [3] Обязательно

Каждая политика сертификата имеет определенные технические требования и сценарии применения. Организациям необходимо выбрать подходящий тип сертификата на основе собственных бизнес-потребностей и требований безопасности.

Особые требования к сертификатам соответствия ЕС

Для сертификатов соответствия ЕС стандарт предлагает дополнительные технические требования:

Требования к идентификатору организации: Если для эмитента и субъекта существуют соответствующие регистрационные номера, атрибут organizationIdentifier должен быть включен в соответствующее поле, а его значение должно отличаться от названия организации.

Семантические идентификаторы: Сертификат может содержать один или несколько семантических идентификаторов для предоставления соответствующих семантических определений для определения идентичности субъекта сертификата. В частности, для юридических лиц может использоваться семантический идентификатор юридического лица.

Расширение QCStatements: Сертификат соответствия ЕС должен содержать расширение QCStatements, которое соответствует требованиям ETSI EN 319 412-5, чтобы декларировать статус соответствия сертификата и связанные атрибуты.

Спецификация расширения политики сертификата

Стандарт устанавливает четкие требования к расширениям политики сертификата:

Сертификаты, соответствующие ЕС, должны включать один из идентификаторов политики сертификата, определенных в разделе 5.3 ETSI EN 319 411-2, в расширении политики сертификата. Эти идентификаторы политики должны соответствовать декларации сертификата, соответствующего ЕС, чтобы гарантировать соответствие и проверяемость сертификата.

Выбор идентификатора политики зависит от типа сертификата и уровня проверки. Различные политики соответствуют различным техническим требованиям и юридическим последствиям.

Технические моменты реализации

Следующие технические моменты следует учитывать при внедрении настоящего стандарта:

Обработка доменного имени: В ситуациях, когда необходимо различать идентификаторы веб-сайтов, общее имя субъекта (commonName) может содержать доменное имя или подстановочное доменное имя, но оно должно быть одним из значений dNSName в расширении subjectAltName.

Расширенное использование ключа: Расширение extKeyUsage должно быть установлено строго в соответствии с разделом 7.1.2.3.f BRG [9], чтобы гарантировать правильную идентификацию цели сертификата.

Альтернативное имя субъекта: Расширение альтернативного имени субъекта должно быть установлено правильно в соответствии с разделом 7.1.4.2.1 BRG [9].

Вопросы соответствия и взаимодействия

Для обеспечения соответствия и взаимодействия рекомендуются следующие меры:

1. Сопоставление политик: Установите четкие связи сопоставления политик сертификатов, чтобы гарантировать правильную идентификацию и обработку сертификатов на разных уровнях проверки.

2. Управление идентификаторами: Улучшите механизм управления организационными идентификаторами, чтобы гарантировать уникальность и правильность идентификаторов.

3. Обработка расширений: Реализуйте правильную обработку и проверку всех требуемых расширений, особенно QCStatements и расширений политики сертификатов.

4. Процесс проверки: Установите полный процесс проверки сертификатов, включая проверку политики, проверку идентификаторов и расширенную проверку.

Рекомендации по внедрению и передовой опыт

На основе стандартных требований предлагаются следующие рекомендации по внедрению:

Выбор политики сертификатов: выберите подходящую политику сертификатов на основе бизнес-потребностей и требований безопасности, сбалансировав безопасность и экономическую эффективность.

Техническая реализация: внедрите модульную архитектуру обработки сертификатов для поддержки гибкой обработки сертификатов с различными политиками.

Проверка соответствия: создайте автоматизированный механизм проверки соответствия, чтобы гарантировать, что сертификаты соответствуют всем соответствующим требованиям стандартов.

Непрерывный мониторинг: реализуйте непрерывный мониторинг жизненного цикла сертификатов для оперативного выявления и устранения проблем с соответствием.

Следуя этим передовым опытам, организации могут гарантировать, что сертификаты их веб-сайтов соответствуют как техническим требованиям стандартов, так и требованиям законодательства и нормативных актов.

Электронные подписи и инфраструктуры доверия (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов

стандарты и спецификации

ETSI EN 319 412-4 V1.3.2 (2024-11)-2024 Электронные подписи и инфраструктуры доверия (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов веб-сайтов NF EN 319412-4:2024 Электронные подписи и инфраструктуры доверия (ESI) - Профили сертификатов - Часть 4: профиль сертификата для сертификатов веб-сайтов (V1.3.2) ETSI EN 319 412-4-2021 Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов ETSI EN 319 412-4-2024 Электронные подписи и инфраструктуры доверия (ЭПИ); Профили сертификатов; Часть 4: Профиль сертификата для сертификатов сайтов ETSI EN 319 412-2-2020 Электронные подписи и инфраструктуры (EI); Профили сертификатов; Часть 2: Профиль сертификата, выданный физическим лицам ETSI EN 319 412-2-2023 Электронные подписи и инфраструктуры (EI); Профили сертификатов; Часть 2: Профиль сертификата для выданных природным лицам ETSI TS 119 412-1-2018 Электронные подписи и инфраструктуры (ESI); Профили сертификатов; Часть 1: Обзор и общие структуры данных ETSI EN 319 412-3-2020 Eлектронные подписи и инфраструктуры (ЭПИ); Профили сертификатов; Часть 3: Профиль сертификата для юридических лиц ETSI TS 119 412-2-2012 Электронные подписи и инфраструктуры (ESI); Профили для поставщиков услуг доверия, выдающих сертификаты; Часть 2: Профиль сертификата для сертификатов


© 2025. Все права защищены.