021-54410609
过去 12 个月在 CA/Brower 论坛和 BIMI 组织中非常多事。新举措包括新的代码签名要求、组织单位 (OU) 字段弃用、取消吊销检查,以及 Gmail、Apple 和 Fastmail 对 VMC 和 DMARC 隔离策略的利用。除了这些行业变化之外,欧盟委员会在 2021 年(03/06/2021)提出的新的 eIDAS 法规修订目前正在由议会和理事会评估和修订。最终确定更改的讨论预计将于 1 月开始,并且可能会根据欧盟委员会的提议对浏览器的用户界面进行潜在的更改。您可以在下面找到数字证书市场中最重要的更新摘要。
eIDAS 修订和浏览器用户界面中身份数据的潜在返回:
2019年底,EV证书浏览器中的身份数据已从 URL 或地址栏移至页面信息。尽管欧盟与浏览器开发商于 2012 年开始对话,以在 eIDAS 法规的监督下承认合格的 Web 身份验证证书 (QWAC),并以用户友好的方式显示他们保证的身份数据(包括欧盟信任标志) ,网络浏览器一直不愿意将它们包含在它们的根存储中。欧盟委员会提议修订 eIDAS 立法的众多原因之一是网络浏览器不承认 QWAC 与保护欧洲消费者的基本权利相冲突*。对于公共和私营部门提供的在线服务,例如电子商务、电子银行和电子医疗,高度信任网站背后的人尤为重要。
根据最新草案,网络浏览器将需要: 识别 QWAC 并以用户友好的方式专门显示 QWAC 中包含的身份信息。
*根据《欧盟运作条约》第 12、101、102、114 和 169 条以及欧盟消费者保护立法,特别是指令 2005/29/EC90 的规定)
资料来源:欧盟委员会影响评估文件第 1 部分第 15、21,22 页和第 3 部分第 42 页https://digital-strategy.ec.europa.eu/en/library/trusted-and-secure-european-e-id-regulation
OU 弃用:
2021 年 6 月,CA/浏览器论坛通过 SC47 投票,从所有公共信任 TLS/SSL 证书中删除组织单位 (OU) 字段。OU字段的问题涉及证书颁发机构 (CA) 必须验证和断言证书主体身份的原则。OU 字段不是一个定义明确的术语,但被认为是组织的较小部分。CA 无法始终如一地验证组织的较小部分并正确声明其身份。该变更于 2022 年 9 月 1 日生效。
新的代码签名要求:
CA/浏览器论坛已批准 Ballot CSC-13,旨在增加对代码签名证书私钥的保护。然而,该措施的生效日期已推迟到 2023 年 6 月 1 日(通过选票 CSC-17)。
密钥对必须生成并存储在满足或超过 FIPS 140-2 Level 2 或 Common Criteria EAL4+ (CC/通用标准)要求的Hardware Security Module (HSM/硬件安全模块/加密机) 中。这意味着密钥对将在无法导出私钥的设备中生成。目标是减少代码签名证书私钥泄露,从而降低在其系统中安装签名恶意软件的风险。作为Thales在中国的合作伙伴,揽阁信息通过提供符合安全标准的HSM、eToken、SmartCard产品,以支持企业代码签名和私钥保护。
BIMI组织更新:
消息识别的品牌指标 (BIMI)是一个旨在推动整个电子邮件生态系统采用强发件人身份验证的标准。正确配置后,品牌的注册徽标将出现在消息头像槽中。这对电子邮件生态系统来说是个好消息,因为就在去年的 7 月 12 日,Gmail 宣布了对 BIMI 的生产支持。Gmail、Apple 和 Fastmail 正在利用 Verified Mark Certificate (VMC) 以及基于域的邮件身份验证报告和一致性 (DMARC) 隔离@100% 或拒绝协议策略。
S/MIME 发展:
Apple 最近更新了其根证书计划,以包括对 S/MIME 证书的新要求,自 2022 年 4 月 1 日起生效。
有效期大于 27 个月的证书不受 Gmail 信任,这与 Apple 新的有效期要求一致。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话