新S/MIME标准将于今年九月生效

news2024/12/23 17:26:52

1月份,行业领导者通过了新的 S/MIME基线要求,旨在规范全球范围内公开信任电子邮件签名证书的颁发和管理。以下是关于此次更新的重点……

根据abnormal security发布的报告称,近92%的受访者表示,他们在过去一年中至少经历过一次或多次与电子邮件相关的安全事件。其中就包括BEC攻击,而这些攻击可以通过教育和安全措施来预防,比如:

  • 提供网络安全意识培训

  • 要求员工对所有外发的邮件进行数字签名,并使用S/MIME数字证书对包含敏感数据的电子邮件进行加密。

用于对数据签名和加密的电子邮件签名证书本身就是个小型数据文件,但证书的管理和颁发方面并未引起企业的足够重视,而现在,CA/B论坛签署了一套名为基线要求(BRs)的新标准,为管理S/MIME证书提供了指导。

采用新S/MIME基线要求的原因

2023年1月1日,CA/B论坛通过了一项关于公开信任电子邮件安全证书的第一个基线要求(版本1.0.0)基础的投票。这些需求是发布和管理公开信任电子邮件签名证书的基础,且这些新标准是基于对现有标准的充分考量,并不会破坏现有的部署。

什么是 S/MIME?

S/MIME,即安全/多用途 Internet邮件扩充协议,是一种被广泛用于加强电子邮件安全的技术协议,它基于S/MIME证书和非对称加密来实现传输数字签名和加密电子邮件。

S/MIME证书也是数字证书的一种,企业和个人可以将其安装到设备上以声明他们的数字身份是经过验证的。在正确安装后,它们用于对所有外发的电子邮件进行数字签名。如果发件人和收件人都使用电子邮件签名证书,那他们就能实现发送加密邮件,发件人使用收件人的公钥加密邮件,收件人使用他们的私钥解密邮件。

新基线要求何时生效

早在2022年11月1号,CA/B论坛就已经通过该项新标准的投票,但新标准的推出并非一蹴而就,考虑到要在全行业实施,就需要时间才能逐渐在全球范围内被整个行业采用,所以S/MIME BR将会在2023年9月1日生效。

关于S/MIME基线要求

S/MIME基线要求是确保数字证书正确颁发并符合既定行业安全标准的一项新标准。这份84 页的文档是由S/MIME证书工作组编写的,该工作组由50个证书颁发机构(CA)、技术公司、Web浏览器公司和其他相关方组成。

这些要求旨在为如何颁发和管理这些证书设定最低标准。他们还旨在向公众信任的CA(或其指定的注册机构)提供有关其证书操作声明(CPS)中应包含哪些内容。

所有这些都是为了向电子邮件收件人提供“保证”,即基于S/MIME证书发出的电子邮件是邮件发送人本人,而这种数字信任的实现是基于数字身份验证的基础之上。

适用对象

S/MIME BR适用于公开信任的CA,如DigiCert或Sectigo,以及使用这些证书在其网络之外发送电子邮件的企业。如果您的企业颁发或请求包含以下两项的S/MIME 证书,那么您就是这些标准的目标受众:

  • id-kp-emailProtection (OID: 1.3.6.1.5.5.7.3.4)的扩展密钥用法(EKU)

  • RFC822Name的SubjectAlt字段信息

以下是 SAN 字段信息在电子邮件签名证书中示例:

该项新标准并不适用于在企业内部运行的私有CA,它们仅适用于面向公众的公钥基础设施(PKI) 和在外部使用这些证书的企业。

默认情况下,任何操作系统或邮件客户端都不会信任内部 S/MIME 证书;用户必须手动将私人CA添加到操作系统或邮件客户端的信任库中,以便将它们识别为有效和可信的。而对于由公开信任的CA颁发的S/MIME证书,默认情况下它们是受到信任的。

为什么需要这些新的行业标准

需要这些准则是因为证书颁发机构、注册机构 (RAS) 和公司颁发、部署或管理证书的方式存在重大差异,这些差异可能会导致安全风险存在。

在发布任何类型的公开可信数字证书时,同一标准是关键,不管是SSL /TLS 证书、代码签名证书还是文档签名证书。

新基线要求涵盖的内容

这些要求涵盖与电子邮件签名证书相关的各种主题,包括:

  • 证书的适当和不适当使用

  • 身份验证,通过证书验证邮件和域名

  • CA或RA在身份验证要求和流程中会确保邮件主体身份的真实性

  • 签发CA和证书主体的操作规范和安全控制

  • 审计和合规相关的注意事项

BR确定四种类型的S/MIME证书

当我们谈论不同类型的电子邮件签名证书时,我们通常会从验证的角度(个人验证、组织验证和扩展验证)讨论。新Br采用了不同方法,在原基础上做了一些调整和补充。

在1.2节“文档名称和标识”中,br根据证书定义了这四种类型的证书配置文件,分别是个人验证的 S/MIME、邮箱验证的 S/MIME、组织验证的 S/MIME、赞助方验证的 S/MIME,这些证书类型又可以进一步被定义为以下三个生成配置文件之一。

1、遗留配置文件:此类文件仅适用于现有的S/MIME证书以提供灵活性,在未来的 S/MIME BR 版本中它将会被弃用。这一代密钥对使用期限最长为1185天(约3.25年)。S/MIME 工作组讨论了最终为遗留文件发布特定计划弃用日期的目标,但这是必须在未来版本的基线要求中解决的问题。

2、多用途配置文件:顾名思义,它的用途广泛,因为它具有额外的扩展密钥使用 (EKU) 选项并且可以允许交叉使用。例如,它也可以用于文档签名,而不仅仅是电子邮件签名证书。它的最长有效期为 825 天,即2.25年多一点。

  1. 严格配置文件:这一代是最严格的,作为S/MIME证书的长期目标配置文件,仅支持id-kp-emailProtection以及其他限制。此配置文件类型的最长有效期为 825 天。

openpki

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/350854.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

全网最全的Ansible中常用模块讲解

目录 前言 一、ansible实现管理的方式 二、Ad-Hoc执行方式中如何获得帮助 三、ansible命令运行方式及常用参数 四、ansible的基本颜色代表信 五、ansible中的常用模块 1、command 2、shell 3、script 4、copy 5、fetch 6、file 7、 unarchive 8、archive 9、h…

Python基础1

1. 注释 单行注释:以#开头。一般建议注释和内容用空格隔开。 多行注释:以一对三个双引号括起来的内容是注释。“““示例注释”””。 2. 数据类型 验证数据类型的方法:type(被查看类型的数据)。 注意:…

< 每日小技巧:N个很棒的 Vue 开发技巧, 持续记录ing >

每日小技巧:6 个很棒的 Vue 开发技巧👉 ① Watch 妙用> watch的高级使用> 一个监听器触发多个方法> watch 监听多个变量👉 ② 自定义事件 $emit() 和 事件参数 $event👉 ③ 监听组件生命周期常规写法hook写法&#x1f44…

扫码过磅+车牌识别,内蒙古蒙维过磅实现信息化管理

扫码过磅、车牌识别、对接SAP ERP系统设计思路: 无人值守系统升级改造包括车牌自动识别系统、信息化(扫码等方式)管理系统、智能自动控制系统等实现信息无纸化传递。远程监管地点设于公司东磅房,可以实现远程监测监控画面、称重过…

前端之HTML

一、概念1.页面组成结构:HTML(Hyper Text Markup Language--超文本标记语言)页面原始和内容 表现:CSS网页原始的外观和位置等页面样式(如颜色、大小等) 行为:JavaScript网页模型的定义与交互&am…

【仓库管理】搭建 Maven 私服之一--Nexus仓库(Repository)管理软件

文章目录Nexus是什么Nexus下载和安装1. 进入 Nexus 2.x 下载页面,根据本机操作系统,选择对应的版本进行下载,如下图所示。2. 将下载 Nexus 安装包解压到本地磁盘,可获得 nexus-2.14.20-02 和 sonatype-work 2 个目录,如…

Python3,2分钟掌握Doscoart库,你也能成为艺术家。

2行代码绘制水彩画1、引言2、 代码实战2.1 模块介绍2.2 模块安装2.3 代码示例2.3.1 创建默认图片2.3.2 设置参数创建图片2.3.3 查看设置参数2.3.4 查看配置2.3.5 保存配置2.3.6 加载配置2.3.7 导出配置文件2.3.7 生成Python代码2.3.8 调用文档3、总结1、引言 小屌丝&#xff1…

分布式新闻项目实战 - 11.定时计算热点文章(xxl-Job)

男人过了四十,千万要少说话,拉长脸,闭紧嘴,买件立领风衣,浓个眉大个眼,一直走,不要往两边看,还能再混几十年。 —— 冯唐 系列文章目录 项目搭建App登录及网关App文章自媒体平台&am…

DQL 数据查询语言(单表查询)

导入数据 登录mysql数据库管理系统 mysql -uroot -pXXX查看有哪些数据库 show databases; (这个不是SQL语句,属于MySQL的命令。)创建属于我们自己的数据库 create database db1; (这个不是SQL语句,属于MySQL的命令。)使用bjpowernode数据 use db1; …

带你了解达人营销的概况

现在,达人营销的格局在不断变化。社交媒体平台想方设法希望吸引更多用户。如果普通用户的内容能够实现爆炸性传播,他们就可以成为冉冉升起的新星。企业需要尽一切努力保持受众的兴趣,所以现如今许多品牌正在转向达人营销工具。当你拥有了许多…

面试篇——计算机网络面试核心问题汇总

前言 前言:总结前后端岗位面试中计算机网络部分常见的面试题。 文章目录前言一、OSI七层模型1、物理层2、数据链路层3、网络层4、传输层5、会话层6、表示层7、应用层8、网络数据处理的整个流程二、TCP/IP 四层模型三、TCP的三次握手1、TCP简介2、三次握手1&#xff…

预训练机制(3)~GPT、BERT

目录 1. BERT、GPT 核心思想 1.1 word2vec和ELMo区别 2 GPT​编辑 3. Bert 3.1 Bert集大成者 extension:单向编码--双向编码区别 3.2 Bert和GPT、EMLo区别 3.3 Bert Architecture 3.3.1 explanation:是否参数多、数据量大,是否过拟…

天干地支蓝桥杯国赛

题目 分析 蓝桥杯国赛2020简单模拟题&#xff0c;你敢信&#xff0c;就是弄两个字符串数组。重点在于知道0000年是从哪个天干和地支开始的。 代码 #include <iostream> using namespace std;int year;int main() {cin >> year;string tiangan[10] {"geng&…

rip路由协议

目录 1.rip路由协议介绍 2.版本 3.工作原理 4.缺点 5.RIP配置 1.rip路由协议介绍 RIP---路由信息协议/矢量路由选择协议&#xff08;Routing Information Protocol&#xff09;是基于距离矢量路由协议&#xff0c;最大的特点是利用跳数来最为计量的标准&#xff08;最多支…

【roLabelImg】windows下旋转框标注软件安装、使用、rolabelimg打包成exe

主要参考&#xff1a; roLabelImg安装、使用、数据格式roLabelImg在Win10系统下打包成exe - 问雪的文章 - 知乎 一、安装 1.1 直接下载exe运行 劝大家直接去下别人编译好的吧&#xff0c;本来是训练模型标记的&#xff0c;结果搞了半天去了解这个软件了&#xff0c;哎~ 我…

数仓实战 - 滴滴出行

项目大致流程&#xff1a; 1、项目业务背景 1.1 目的 本案例将某出行打车的日志数据来进行数据分析&#xff0c;例如&#xff1a;我们需要统计某一天订单量是多少、预约订单与非预约订单的占比是多少、不同时段订单占比等 数据海量 – 大数据 hive比MySQL慢很多 1.2 项目架…

【K6】使用InfluxDB和Grafana图像化展示k6.io的测试数据

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录前言一&#xff1a;什么是K6二&#xff1a;K6的安装三&#xff1a;脚本准备四&#xff1a;执行脚本五&#xff1a;结果分析六、输出结果总结前言 ●&#x1f9d1;个人…

(考研湖科大教书匠计算机网络)第四章网络层-第六节4:边界网关协议BGP的基本工作原理

获取pdf&#xff1a;密码7281专栏目录首页&#xff1a;【专栏必读】考研湖科大教书匠计算机网络笔记导航 文章目录一&#xff1a;不同自治系统交流需要考虑的问题二&#xff1a;边界网关协议BGP概述三&#xff1a;BGP-4种的四种报文本节对应视频如下 【计算机网络微课堂&#x…

告警修复难?Zabbix+ChatGPT,轻松化解大胆尝试!

感谢本文作者小谈谈&#xff01; ○ 基于 Zabbix 能力&#xff0c;我们将告警发给了 ChatGPT&#xff0c;并通过企业微信内部应用的方式给出告警信息和修复建议。效果如下图&#xff1a; 摘 要 ChatGPT 是最近很火的 AI 智能机器人程序&#xff0c;2 个月活跃用户突破 1 亿&a…

java对象内存结构分析与大小计算

java对象内存结构Java对象保存在堆中时&#xff0c;由三部分组成&#xff1a;对象头&#xff08;object header&#xff09;&#xff1a;包括了关于堆对象的布局、类型、GC状态、同步状态和标识哈希码的基本信息。所有java对象都有一个共同的对象头格实例数据&#xff08;Insta…