互联网工程任务组（IETF）发布了新的RFC 9336标准，该标准定义了专用于电子签名和文档签名的通用扩展密钥使用（EKU）。EKU是证书颁发机构（CA）声明数字证书的预期用途的一种手段。

新的EKU是公共信任PKI运动的一部分，该运动旨在通过CA创建的数字证书类型来分离CA。这一趋势始于CA/浏览器（CA/B）论坛的工作，该论坛的TLS/SSL和代码签名证书标准规定了CA对这些用例的分离。最近，浏览器根程序开始要求CA用按用例分离的新版本替换其现有的根CA证书。

从合规性和标准的角度来看，这种内务管理得到了广泛支持。然而，很快就发现，最初由IETF定义的EKU列表需要扩展。  RFC 5280定义了一系列通用EKU，例如用于TLS的id kp serverAuth或id kp clientAuth，以及用于代码签名的id kp codeSigning，但没有用于文档签名的内容。

因此，目前大多数签名证书都使用id kp-emailProtection EKU，该EKU用于S/MIME证书，或者一些CA使用由个人签名平台提供的专有EKU。

正在进行的标准工作规范了CA在颁发用于安全电子邮件和电子签名的证书时的行为，这使得通过EKU分离这些证书类型是有益的。 例如，CA/B论坛的s/MIME基线要求，以及欧盟正在进行的eIDAS法规和合格证书的开发。

现在，这些证书类型中的每一种都将有一个自己的明确的EKU主页，允许标准开发继续进行，降低以前与用例重叠的多用途证书的意外不良影响风险。

新的RFC 9336由SECOM的Tadahiko ITO、DigiCert的Tomofumi Okubo和sn3rd的Sean Turner撰写。  id kp documentSigning EKU已由互联网号码分配机构（IANA）分配1.3.6.1.5.5.7.3.36的对象标识符（OID），使EKU可用于证书。未来的文档签名标准、根程序和电子签名产品将能够使用EKU来确定特定证书是否用于文档签名。

DigiCert认为，documentSigning EKU的采用符合证书使用分离的行业趋势，并将有利于文档签名和S/MIME行业标准的持续发展。

关于 DigiCert® 文档信任管理器

DigiCert ONE中的DigiCert®文档信任管理器™ 通过在任何地点、任何时间和任何设备上实现安全、具有法律约束力的数字文档签名，帮助实现组织的数字化转型。使用Document Trust Manager的组织可以为自然人和法人创建并自动化数字签名，这些签名经过加密以防止篡改，并经过身份验证以验证身份。此外，签名符合严格的全球标准，包括第910.2014号eIDAS法规。数字文档签名消除了手写签名的需要，降低了成本，节省了时间，并减少了环境足迹。DigiCert Document Trust Manager可轻松管理各种文件格式的任何数量的文档，而无需额外的硬件或软件投资。

本文由 聚力诚信 根据 Digicert 博客 NEW RFC 9336 FOR DOCUMENT SIGNING  编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。