DIGICERT RELEASES INNOVATIVE AUTOMATED TESTING TOOL FOR DIGITAL CERTIFICATES

新的开源证书linter实现了对S/MIME基线要求

DigiCert很高兴地宣布发布一款名为pkilint的新证书linter，该证书基于行业在自动进行数字证书合规检查方面的经验。pkilint的第一个版本为最近发布的CA/Browser（CA/B）Forum Baseline Requirements for the Issuation and Management of Publicly Trusted S/MIME Certificates（也称为S/MIME Baseline Requirement）实现了合规性测试。

什么是证书 linter？

Pkilint 是一种证书 linter——一种用于分析数字证书错误或合规性问题的软件。 使用自动化，它可以在证书颁发过程中快速分析和标记问题，或用于审计以前颁发的证书的大目录的一致性。

pkilint S/MIME linter 由 DigiCert 根据 MIT 许可作为开源软件 (OSS) 提供给社区，该许可提供了使用、分发和修改软件的广泛自由。

是什么让pkilint与众不同？

新的pkilint框架可以适用于任何证书类型。它最初包括145多项针对S/MIME基线要求（BR）和其他适用于数字证书格式的重要标准的不同规范的单独测试。

Pkilint是基于DigiCert在大容量环境中使用证书linter的经验开发的。与现有方法相比，pkilint框架提供了几个优势：

● 建立在经过验证的ASN.1解析器之上，允许进行非常详细的检查来检测ASN.1编码错误。

● 从头开始构建，以支持许多不同类型的PKI结构（包括证书、CRL、OCSP响应等）根据不同的标准和信任框架进行绑定。

● 丰富的验证逻辑分析ASN.1文档的每个字段，并确定要执行哪些测试集。这将导致更快、更彻底的测试，同时减少开发时间。

● 除了pkilint，DigiCert最近还提供了一个名为SMBR Cert Factory的OSS工具，该工具允许用户生成符合S/MIME BR中定义的不同证书配置文件的测试证书。

S/MIME基线要求是什么？

S/MIME BR首次为证书颁发机构（CA）创建了全行业标准，证书颁发机构颁发用于签署电子邮件的数字证书，使其不受篡改并显示其来源，或为隐私对其进行加密。S/MIME BR将于2023年9月生效，涵盖：

● 主题身份验证和对电子邮件地址的控制

● 颁发CA证书和最终实体证书的证书配置文件

● CA操作实践，包括密钥管理和证书生命周期

以前的CA/B论坛标准称为TLS基线要求，为SSL/Web服务器证书创建了统一的标准，但当第一批证书lint（称为certLint、ZLint和X509lint）发布时，真正的好处就显现出来了，允许根据该标准对证书进行自动的大规模测试。DigiCert认为，pkilint将提供类似的好处，允许CA和第三方自动测试数字证书，以符合S/MIME BR。

pkilint开发的下一步是什么？

pkilint框架可以很容易地扩展，以分析PKI的其他数字证书类型和方面，例如CRL和OCSP实现。此外，DigiCert正计划使用该框架添加lint，以涵盖CA/B论坛投票SC-62对TLS证书配置文件所引入的更改。有兴趣为pkilint做出贡献的开发人员可以在项目的GitHub页面上这样做。

DigiCert在数字信托行业标准方面的领先地位

作为其建立数字信任承诺的一部分，DigiCert的行业标准团队参与了一系列组织编写公钥基础设施（PKI）使用要求和规范。其中包括解决webPKI、S/MIME和代码签名标准的CA/B论坛；电子邮件信任的验证标记证书；互联网工程特别工作组，负责各种技术主题，包括后量子加密；连接标准联盟物联网安全问题；以及欧洲电信标准协会（ETSI），为电子签名和eIDAS合格的信任服务提供商操作提供了广泛的标准。

本文由 聚力诚信 根据 Digicert 博客

DIGICERT RELEASES INNOVATIVE AUTOMATED TESTING TOOL FOR DIGITAL CERTIFICATES 编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。