10月份，CA/B論壇圓滿召開了今年的最後一次會議。 本月會議提出了幾項更新，包括有關 Apple 新root程式、S/MIME證書和代碼簽名證書檔新基線要求、eIDAS 2.0預告等議題。

具體詳情如下：

Apple新root程式

Apple 宣佈了新的S/MIME 郵件證書檔要求，預計在明年4月開始實施。 Apple稱自2022 年4月1日起，將縮短S/MIME證書的有效期為兩年，並要求所有證書頒發機構（即CA）公開所有與蘋果根證書清單相關鏈的CA證書。

此外，Apple還要求S/MIME證書：

ü 包括 emailProtection EKU;

ü 包括至少一個包含電子郵件地址的使用者可選名稱 rFC822Name 值;

ü 有效期不超過 825 天;

ü 使用加密強度≥SHA-256簽名演算法;

ü 滿足以下金鑰大小要求：

• 如使用RSA加密演算法，金鑰大小必須至少為 2048 位，且必須能被 8 整除。

• 如使用 ECDSA演算法，密鑰必須代表 NIST P-256、NIST P-384 或 NIST P-521 命名橢圓曲線上的有效點。

更改SSL/TLS證書檔

在過去兩年左右的時間里，驗證小組委員會一直致力於更清楚、更明確地說明哪些內容可以展示在公眾信任的SSL/TLS證書中，哪些內容可能不出現在證書中。 雖然我們強烈支持明確的要求，但更嚴格的資訊要求可能會給部分客戶造成困擾。 此次會議中提出了很多更新建議，其中大部分可能會在2022年通過，並在2023年被要求執行。

eIDAS 2.0 預告

Enrico Entschew 在會議上圍繞在歐洲正實施 eIDAS（歐盟電子簽名及信任體系條例）更新做了總結。 根據當前的提案，瀏覽器將被要求遵守歐盟信任清單，併為歐洲證書（稱為 QWAC）提供可視化指標。 此外，在eIDAS 2.0中他強調了數位身份重要性，並表示在數位錢包和下一代數位身份方面還有很多工作要做。

S/MIME證書基線要求

S/MIME工作組正在制定一套新的S/MIME基線要求。 雖然這些要求要到2022年才能最終確定，可能要到2023年或更晚才會生效，但該組織已經完成了對S/MIME檔草案的討論，並初步達成共識。 在策略要求中有部分亮點值得關注：首先，它有一個傳統概要檔，裡面基本包括了對行業中現有的實踐的系統介紹，也允許現有的CA快速採用和推進新的S/MIME基線要求。 此外，它還包括升級到更有價值的證書類型的路徑，包括那些包含經過驗證的身份信息的證書。 最後，最苛刻的條款將被降級為嚴格規定，這樣那些認為此條款有用的人可以繼續採用，如果認為無用則可以選擇忽略。

改善代碼簽名服務要求

最後，代碼簽名工作組正在改善代碼簽名服務，這可能會大大提高個人持有的數位令牌的安全性和可用性。 該工作組的工作仍處於早期階段，目前的要求尚不明確，但我們希望代碼簽名服務能夠快速提高數位簽名資產的安全性和可用性。

正如今年早些時候，CA/B論壇宣佈代碼簽名證書更改最小密鑰長度為3072位一樣，其目的也是為了提高數位簽名的安全性。

根據以上會議摘要可看出，不論是CA/B論壇還是Apple公司都在開始研究S/MIME證書和代碼簽名證書的新要求。 隨著公共PKI的廣泛應用，銳成資訊相信在不久的將來，將會有越來越多的使用者注重身份認證和數字簽名，這也就意味著互聯網安全行業需要基於安全性和可用性原則提高數位證書合規標準，讓廣大用戶群體使用上方便快捷的證書，保障其數據安全。