Новость

12-11-17

Скорректированы правила задания юрисдикции при выпуске EV-сертификатов

Правила по выпуску и управлению EV (Extended Validation) сертификатов содержат пункт 9.2.5 «Юрисдикция учреждения или регистрации субъекта», который является обязательным для заполнения. Он включает в себя поля «Locality» (если требуется), «State or province» (если требуется) и «Country». При этом текущее описание полей в документе является следующим:

subject:jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1)

ASN.1 - X520LocalityName as specified in RFC 5280

subject:jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2)

ASN.1 - X520StateOrProvinceName as specified in RFC 5280

subject:jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3)

ASN.1 – X520countryName as specified in RFC 5280

Однако участники CA/B Forum обнаружили, что в X.520 или RFC 5280 (https://tools.ietf.org/html/rfc5280) отсутствуют jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1), jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2), jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3.

В связи с этим CA/B Forum вынес предложение Ballot 207, в котором планируется добавить релевантные правила ASN.1 для jurisdictionLocalityName (OID: 1.3.6.1.4.1.311.60.2.1.1), jurisdictionStateOrProvinceName (OID: 1.3.6.1.4.1.311.60.2.1.2), jurisdictionCountryName (OID: 1.3.6.1.4.1.311.60.2.1.3.

Предложение Ballot 207 было принято большинством голосов. Его итогом стало добавление Appendix G (Приложение G) к документу с правилами EV. Приложение G содержит следующие правила задания юрисдикции в синтаксисе ASN.1:

CABFSelectedAttributeTypes {joint‐iso‐itu‐t(2) international‐

organizations(23) ca‐browser‐forum(140) module(4)

cabfSelectedAttribute-Types(1) 1}

DEFINITIONS ::=

BEGIN

-- EXPORTS All

IMPORTS

  -- from Rec. ITU-T X.501 | ISO/IEC 9594-2 selectedAttributeTypes, ID,

ldap-enterprise

      FROM UsefulDefinitions {joint-iso-itu-t ds(5) module(1)

usefulDefinitions(0) 7}

  -- from the X.500 series ub-locality-name, ub-state-name

      FROM UpperBounds {joint-iso-itu-t ds(5) module(1) upperBounds(10) 7}

  -- from Rec. ITU-T X.520 | ISO/IEC 9594-6

  DirectoryString{}, CountryName

      FROM SelectedAttributeTypes selectedAttributeTypes;

id-evat-jurisdiction ID ::= {ldap-enterprise 311 ev(60) 2 1}

id-evat-jurisdiction-localityName ID ::= {id-evat-jurisdiction 1}

id-evat-jurisdiction-stateOrProvinceName ID ::= {id-evat-jurisdiction 2}

id-evat-jurisdiction-countryName ID ::= {id-evat-jurisdiction 3}

jurisdictionLocalityName ATTRIBUTE ::= {

  SUBTYPE OF name

  WITH SYNTAX DirectoryString{ub-locality-name} LDAP-SYNTAX

directoryString.&id LDAP-NAME {"jurisdictionL"} ID

id-evat-jurisdiction-localityName }

jurisdictionStateOrProvinceName ATTRIBUTE ::= {

  SUBTYPE OF name

  WITH SYNTAX DirectoryString{ub-state-name} LDAP-SYNTAX

directoryString.&id LDAP-NAME {"jurisdictionST"} ID

id-evat-jurisdiction-stateOrProvinceName }

jurisdictionCountryName ATTRIBUTE ::= {

  SUBTYPE OF name

  WITH SYNTAX CountryName SINGLE VALUE TRUE LDAP-SYNTAX countryString.&id

LDAP-NAME {"jurisdictionC"} ID id-evat-jurisdiction-countryName }

END

В ближайшее время стоит ждать выхода обновленного руководства по выпуску EV сертификатов, которое будет опубликовано в соответствующей секции CA/B Forum. Оно будет содержать описанный выше Appendix G.

Заказывайте EV-сертификаты в доверенном магазине LeaderSSL. Мы всегда держим руку на пульсе событий!