الملفات الشخصية لشهادات S/MIME

توضّح هذه المقالة المتطلبات التي يجب أن تستوفيها كل شهادة في سلسلة X.509 حتى تصبح موثوقة للاستخدام مع الرسائل الإلكترونية المشفَّرة أو الموقَّعة باستخدام S/MIME.

إضافةً إلى هذه المتطلبات، يجب أن يتم تثبيت السلسلة بشهادة مرجع التصديق (CA) التي قد تم الوثوق بها صراحةً من خلال Google لهذا الغرض. ويمكنك أيضًا اختيار قبول شهادات الجذر من شهادات CA التي تثق بها. ولمزيد من المعلومات، انتقِل إلى إرشادات شهادة الجذر.

ملاحظات:

توفّر Google قائمة بشهادات CA الموثوق بها وتحتفظ بها أيضًا، ويتم الوثوق بهذه الشهادات من خلال Gmail لـ S/MIME. ويتم الوثوق بهذه القائمة من شهادات CA وفقًا لتقدير Google وحدها، كما تحتفظ Google بالحق في إزالة شهادات CA الجذر في أي وقت وبدون إشعار مسبق.
احرص على عدم تعارض الإضافات المثبتة مع الإضافات الأخرى في الشهادة ذاتها. على سبيل المثال، في حال تحديد nsCertTypes، يجب أن تشمَل الاستخدامات ذاتها مثل إضافة استخدام المفتاح، وإضافة استخدام المفتاح الموسَّع، وإضافة القيود الأساسية.

قواعد سلسلة الشهادات

مرجع تصديق الجذر

الحقل	القيمة
الاسم المميَّز لجهة الإصدار	يجب أن يعرِّف مرجع التصديق. على سبيل المثال، يجب ألا يكون الاسم المميَّز قيمة عامة، مثل "مرجع التصديق".
الاسم المميَّز للموضوع	يجب أن يتطابق النموذج المُشفَّر على مستوى البايت مع الاسم المميَّز لجهة الإصدار.
معلومات المفتاح العام للموضوع	rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096. أو ecPublicKey باستخدام secp256r1 أو secp384r1.

الحقل

القيمة

الاسم المميَّز لجهة الإصدار

يجب أن يعرِّف مرجع التصديق.

على سبيل المثال، يجب ألا يكون الاسم المميَّز قيمة عامة، مثل "مرجع التصديق".

الاسم المميَّز للموضوع

يجب أن يتطابق النموذج المُشفَّر على مستوى البايت مع الاسم المميَّز لجهة الإصدار.

معلومات المفتاح العام للموضوع

rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096. أو ecPublicKey باستخدام secp256r1 أو secp384r1.

شهادات CA الوسيطة بخلاف شهادات CA الوسيطة الصادرة

استخدِم هذه المعلومات عند ظهور أكثر من مرجع تصديق وسيط بين الجذر والكيان النهائي، سواء بشكلٍ مباشر أو غير مباشر.

شهادة CA الوسيطة الصادرة هي شهادة CA الوسيطة التي تُصدر شهادة الكيان النهائي. وينطبق هذا القسم على أي شهادة من شهادات CA الوسيطة في السلسلة، بخلاف إصدار شهادة CA الوسيطة الصادرة.

الحقل			القيمة
الإصدار			الإصدار 3
الرقم التسلسلي			يجب أن يكون أكبر من الصفر (0)، وعند الترميز باستخدام DER كعدد صحيح، يكون أقل من أو يساوي 20 بايت.
خوارزمية التوقيع			RSA مع SHA‐256 أو SHA‐384 أو SHA‐512. أو ECDSA مع SHA‐256 أو SHA‐384 أو SHA‐512
الاسم المميَّز لجهة الإصدار			يجب أن يتطابق على مستوى البايت مع الاسم المميَّز لموضوع مرجع التصديق لإصدار الشهادات.
مدة الصلاحية			بدون شرط
الاسم المميَّز للموضوع			بدون شرط
معلومات المفتاح العام للموضوع			rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096. أو ecPublicKey باستخدام secp256r1 أو secp384r1
الإضافة	التواجد	مهم	القيمة
استخدام المفتاح	إلزامي	نعم	يجب تحديد مواضع البت لـ: keyCertSign ومن الممكن تحديد أي مواضع بت أخرى
القيود الأساسية	إلزامي	نعم	يجب تحديد قيمة حقل cA على "True" من المفترَض أن يكون حقل pathLenConstraint متوفرًا
نقاط توزيع قائمة الشهادات الباطلة (CRL)	إلزامي	لا	يجب أن يتوفّر واحد على الأقل من HTTP uniformResourceIdentifier المتاح للجميع.
(ملاحظة)			يجب أن تلتزم خوادم الإبطال بالفقرات التالية من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار أحدث: 4.9.7. تكرار إصدار CRL 4.9.9. مدى توفّر التحقّق من الحالة/الإبطال على الإنترنت 4.9.10. متطلبات التحقق من الإبطال على الإنترنت 4.10.2 مدى توفُّر الخدمة
أي إضافات			قد تكون متوفّرة.

شهادة CA الوسيطة التي تُصدِر الكيان النهائي

ملاحظة مُهمّة: يجب أن تتوفّر شهادة CA متوسطة واحدة على الأقل في السلسلة. بمعنى أنه يجب ألا يُصدِر الجذر شهادات الكيان النهائي مباشرةً.

الحقل			القيمة
الإصدار			الإصدار 3
الرقم التسلسلي			يجب أن يكون أكبر من الصفر (0)، وعند التشفير باستخدام DER كعدد صحيح، يكون أقل من أو يساوي 20 بايت.
خوارزمية التوقيع			RSA مع SHA‐256 أو SHA‐384 أو SHA‐512. أو ECDSA مع SHA‐256 أو SHA‐384 أو SHA‐512.
الاسم المميَّز لجهة الإصدار			يجب أن يتطابق على مستوى البايت مع الاسم المميَّز لموضوع مرجع التصديق لإصدار الشهادات.
مدة الصلاحية			الفرق بين notBefore وnotAfter من المفترض ألا يزيد الفرق عن 10 أعوام، ويجب ألا يزيد عن 20 عامًا.
الاسم المميَّز للموضوع			يُفترَض أن يشير إلى استخدام CA.
معلومات المفتاح العام للموضوع			rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096. أو ecPublicKey باستخدام secp256r1 أو secp384r1
الإضافة	التواجد	مهم	القيمة
استخدام المفتاح	إلزامي	نعم	يجب تحديد مواضع البت لـ: keyCertSign ربما يتم تحديد موضع بت لـ: cRLSign digitalSignature في حال الاستخدام المباشر لتوقيع استجابات OCSP، يجب أن يتوفّر: digitalSignature يجب عدم تحديد مواضع بت أخرى.
استخدام مفتاح موسَّع	إلزامي	أي منهما	يجب توفّر: emailProtection يجب عدم توفّر: serverAuth codeSigning timeStamping anyExtendedKeyUsage
القيود الأساسية	إلزامي	نعم	يجب تحديد قيمة حقل cA على "True" من المفترض أن يكون حقل pathLenConstraint متوفّرًا وبالقيمة 0.
سياسات الشهادة	اختياري	لا	يُفترض تقديم policyIdentifier الذي يحدِّد السياسة التي تشغّل CA بموجبها، وينبغي ألا يكون anyPolicy. يجب أن يحتوي cps، في حال توفّره، على رابط HTTP أو HTTPS صالحًا.
نقاط توزيع قائمة الشهادات الباطلة (CRL)	إلزامي	لا	يجب أن يتوفّر واحد على الأقل من HTTP uniformResourceIdentifier المتاح للجميع.
(ملاحظة)			يجب تشغيل خوادم الإبطال وفقًا للفقرات التالية من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار أحدث: 4.9.7. تكرار إصدار CRL 4.9.9. مدى توفّر التحقّق من الحالة/الإبطال على الإنترنت 4.9.10. متطلبات التحقق من الإبطال على الإنترنت 4.10.2. مدى توفّر الخدمة
أي إضافات	اختياري	لا	قد تكون متوفّرة.

شهادة الكيان النهائي

الحقل			القيمة
الإصدار			الإصدار 3
الرقم التسلسلي			يجب أن يكون أكبر من الصفر (0)، ويجب أن يحتوى على 64 وحدة بت غير متوقعة على الأقل. ملاحظة: سيتم التحديث لإظهار متطلبات القيمة العشوائية للرقم التسلسلي للكيان النهائي لسياسة شهادة المتطلبات الأساسية في CA/Browser Forum.
خوارزمية التوقيع			RSA مع SHA‐256 أو SHA‐384 أو SHA‐512. أو ECDSA مع SHA‐256 أو SHA‐384 أو SHA‐512.
الاسم المميَّز لجهة الإصدار			يجب أن يتطابق على مستوى البايت مع الاسم المميَّز لموضوع مرجع التصديق لإصدار الشهادات.
مدة الصلاحية			يجب ألا يكون الفرق بين notBefore وnotAfter أكبر من 27 شهرًا. يجب أن يمثل وقت notBefore وقت التوقيع مع زيادة أو نقصان بمقدار 48 ساعة.
الاسم المميَّز للموضوع			يجب التحقّق بحرص من صحة أي أسماء مميَّزة ذات صلة بالموضوع بخلاف عنوان البريد الإلكتروني قبل الإصدار باستخدام إجراء تم توثيقه وتدقيقه بشكلٍ عام. راجِع الفقرة 3.2.3 "مصادقة الهوية الفردية" من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار برقم أكبر لقبول الإجراء. يجب أيضًا أن تتوفّر أي عناوين بريد إلكتروني (على سبيل المثال، في الحقل commonName أو الحقل emailAddress) في الإضافة "الاسم البديل للموضوع" بصيغة rfc822Name.
معلومات المفتاح العام للموضوع			rsaEncryption مع معامل RSA لكلٍ من 2048، أو 3072، أو 4096. أو ecPublicKey باستخدام secp256r1 أو secp384r1
الإضافة	التواجد	مهم	القيمة
استخدام المفتاح (RSA)	إلزامي	نعم	يجب تحديد مواضع البت لـ: digitalSignature و/أو nonRepudiation/contentCommitment ربما يتم تحديد مواضع البت لـ: dataEncipherment keyEncipherment يجب عدم تحديد مواضع بت أخرى.
استخدام المفتاح (ECDH)	إلزامي		يجب تحديد مواضع البت لـ: digitalSignature ربما يتم تحديد مواضع البت لـ: nonRepudiation/contentCommitment keyAgreement encipherOnly (في حال تحديد keyAgreement) decipherOnly (في حال تحديد keyAgreement) يجب عدم تحديد مواضع بت أخرى.
استخدام مفتاح موسَّع	إلزامي	أي منهما	يجب توفّر: emailProtection يجب عدم توفّر: serverAuth codeSigning timeStamping anyExtendedKeyUsage
القيود الأساسية	اختياري	أي منهما	يجب تحديد قيمة حقل cA في حال توفّره على "true" يجب عدم توفّر حقل pathLenConstraint
سياسات الشهادة	إلزامي	لا	يجب توفّرها: يجب تقديم policyIdentifier الذي يحدّد السياسة التي تشغّل CA بموجبها، وينبغي ألا يكون anyPolicy. قد تكون متوفّرة: يجب أن يحتوي cps في حال توفّره، على رابط HTTP أو HTTPS صالحًا إلى CPS الذي تم إصدار الشهادة من خلاله.
الوصول إلى معلومات المرجع	اختياري	لا	caIssuers، وإن توفّر، يجب أن يحتوي ocsp على HTTP uniformResourceIdentifier واحد على الأقل متاح للجميع. يجب ألا يحتوي AccessDescription على أي تصنيفات أو مَعلمات محدَّدة لشهادة فردية.
نقاط توزيع قائمة الشهادات الباطلة (CRL)	إلزامي	لا	يجب أن يتوفّر واحد على الأقل من HTTPuniformResourceIdentifier المتاح للجميع
(ملاحظة)			يجب تشغيل خوادم الإبطال وفقًا للفقرات التالية من سياسة شهادة المتطلبات الأساسية لإصدار الشهادات الموثوق بها بشكل عام وإدارتها في CA/Browser Forum، الإصدار 1.3.2 أو إصدار أحدث: 4.9.7. تكرار إصدار CRL 4.9.9. مدى توفّر التحقّق من الحالة/الإبطال على الإنترنت 4.9.10. متطلبات التحقق من الإبطال على الإنترنت 4.10.2. مدى توفّر الخدمة
الاسم البديل للموضوع	إلزامي	لا	يجب أن يحتوي على عنصر واحد على الأقل من نوع rfc822Name. يجب ألا يحتوي على عناصر من نوع: dNSName iPAddress uniformResourceIdentifier يجب التحقّق من صحة كل rfc822Name من خلال المقاييس التي تم توثيقها وتدقيقها بشكلٍ عام لضمان أنّ الكيان الذي يرسل الطلب يتحكّم في حساب البريد الإلكتروني المرتبط بعنوان البريد الإلكتروني أو قد تم تفويضه من خلال صاحب حساب البريد الإلكتروني للتصرف بالنيابة عن صاحب الحساب.
أي إضافات	اختياري	لا	قد تكون متوفّرة.

هل كان ذلك مفيدًا؟

كيف يمكننا تحسينها؟