Internet Engineering Task Force (IETF)                         A. Newton
Request for Comments: 7318                                          ARIN
Updates: 6487                                                  G. Huston
Category: Standards Track                                          APNIC
ISSN: 2070-1721                                                July 2014

Policy Qualifiers in Resource Public Key Infrastructure (RPKI) Certificates




This document updates RFC 6487 by clarifying the inclusion of policy qualifiers in the certificate policies extension of Resource Public Key Infrastructure (RPKI) resource certificates.

このドキュメントは、Resource Public Key Infrastructure(RPKI)リソース証明書の証明書ポリシー拡張にポリシー修飾子を含めることを明確にすることにより、RFC 6487を更新します。

Status of This Memo


This is an Internet Standards Track document.

これはInternet Standards Trackドキュメントです。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at


Copyright Notice


Copyright (c) 2014 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2014 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents ( in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents


   1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . .   2
   2.  Update to RFC 6487  . . . . . . . . . . . . . . . . . . . . .   2
   3.  Security Considerations . . . . . . . . . . . . . . . . . . .   3
   4.  Acknowledgments . . . . . . . . . . . . . . . . . . . . . . .   4
   5.  Normative References  . . . . . . . . . . . . . . . . . . . .   4
1. Introduction
1. はじめに

This document introduces policy qualifiers in the certificate policies extension of the RPKI resource certificates. This document updates [RFC6487].


The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。

2. Update to RFC 6487
2. RFC 6487への更新

[RFC6487] profiles certificates, certificate revocation lists, and certificate signing requests specified in [RFC5280] for use in routing public key infrastructure.


[RFC5280] defines an extension to certificates for the listing of policy information (see Section [RFC6487] states in Section 4.8.9: "This extension MUST be present and MUST be marked critical. It MUST include exactly one policy, as specified in the RPKI CP [RFC6484]". This references the CertPolicyId of the sequence allowed in PolicyInformation as defined by [RFC5280].

[RFC5280]は、ポリシー情報のリスト用の証明書の拡張を定義しています(セクション4.2.1.4を参照)。 [RFC6487]は、セクション4.8.9で述べています:「この拡張は存在しなければならず、クリティカルとしてマークされている必要があります。RPKICP [RFC6484]で指定されているように、ポリシーを1つだけ含める必要があります。」これは、[RFC5280]で定義されているPolicyInformationで許可されているシーケンスのCertPolicyIdを参照します。

[RFC5280] also specifies that PolicyInformation may optionally have a sequence of PolicyQualifierInfo objects. [RFC6487] does not specifically allow or disallow these PolicyQualifierInfo objects, although Section 4 also states: "Unless specifically noted as being OPTIONAL, all the fields listed here MUST be present, and any other fields MUST NOT appear in a conforming resource certificate." Because there is a need for some RPKI Certificate Authorities to include policy qualifiers in their certificates, this document updates Section 4.8.9 of [RFC6487] as follows:

[RFC5280]は、PolicyInformationがオプションで一連のPolicyQualifierInfoオブジェクトを持つことができることも指定しています。 [RFC6487]はこれらのPolicyQualifierInfoオブジェクトを明確に許可または禁止していませんが、セクション4には次のようにも記載されています。一部のRPKI認証局は証明書にポリシー修飾子を含める必要があるため、このドキュメントでは[RFC6487]のセクション4.8.9を次のように更新します。



This extension MUST be present and MUST be marked critical. It MUST include exactly one policy, as specified in the RPKI Certificate Policy (CP) [RFC6484].

この拡張は存在しなければならず、重要としてマークされていなければなりません。 RPKI証明書ポリシー(CP)[RFC6484]で指定されているように、ポリシーを1つだけ含める必要があります。



This extension MUST be present and MUST be marked critical. It MUST include exactly one policy, as specified in the RPKI CP [RFC6484]. Exactly one policy qualifier MAY be included. If a policy qualifier is included, the policyQualifierId MUST be the Certification Practice Statement (CPS) pointer qualifier type (id-qt-cps).

この拡張は存在しなければならず、重要としてマークされていなければなりません。 RPKI CP [RFC6484]で指定されているように、ポリシーを1つだけ含める必要があります。正確に1つのポリシー修飾子を含めることができます。ポリシー修飾子が含まれている場合、policyQualifierIdは、Certification Practice Statement(CPS)ポインター修飾子タイプ(id-qt-cps)でなければなりません。

As noted in [RFC5280], Section "Optional qualifiers, which MAY be present, are not expected to change the definition of the policy." In this case, any optional policy qualifier that MAY be present in a resource certificate MUST NOT change the definition of the RPKI CP [RFC6484].

[RFC5280]のセクション4.2.1.4に記載されているように、「存在する可能性があるオプションの修飾子は、ポリシーの定義を変更することは想定されていません。」この場合、リソース証明書に存在してもよいオプションのポリシー修飾子は、RPKI CP [RFC6484]の定義を変更してはならない(MUST NOT)。

3. Security Considerations
3. セキュリティに関する考慮事項

The Security Considerations of [RFC6487] apply to this document.


This document updates the RPKI certificate profile to specify that the certificate policies extension can include a policy qualifier, which is a URI. While dereferencing the URI is not required for certificate validation, doing so could provide a denial-of-service (DoS) vector, where the target host may be subjected to bogus work dereferencing the URI. However, this specification, like [RFC5280], places no processing requirements on the URI included in the qualifier.


As an update to [RFC6487], this document broadens the class of certificates that conform to the RPKI profile by explicitly including within the profile those certificates that contain a policy qualifier as described here. A relying party that performs a strict validation based on [RFC6487] and fails to support the updates described in this document would incorrectly invalidate RPKI objects that include the changes in Section 2.

[RFC6487]の更新として、このドキュメントでは、ここで説明するポリシー修飾子を含む証明書をプロファイル内に明示的に含めることにより、RPKIプロファイルに準拠する証明書のクラスを拡大しています。 [RFC6487]に基づく厳密な検証を実行し、このドキュメントで説明されている更新をサポートできない依存パーティは、セクション2の変更を含むRPKIオブジェクトを誤って無効にします。

4. Acknowledgments
4. 謝辞

Frank Hill and Adam Guyot helped define the scope of the issue covered by this document and identified and worked with RPKI validator implementers to clarify the use of policy qualifiers in resource certificates.

Frank HillとAdam Guyotは、このドキュメントで取り上げられている問題の範囲の定義を支援し、リソース証明書でのポリシー修飾子の使用を明確にするためにRPKI検証者の実装者を特定して協力しました。

Sean Turner provided significant text to this document regarding the processing of the CPS URI and limiting the scope of the allowable content of the policy qualifier.

Sean Turnerは、CPS URIの処理、およびポリシー修飾子の許容されるコンテンツの範囲の制限に関する重要なテキストをこのドキュメントに提供しました。

5. Normative References
5. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., Housley, R., and W. Polk, "Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile", RFC 5280, May 2008.

[RFC5280] Cooper、D.、Santesson、S.、Farrell、S.、Boeyen、S.、Housley、R。、およびW. Polk、「Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile "、RFC 5280、2008年5月。

[RFC6484] Kent, S., Kong, D., Seo, K., and R. Watro, "Certificate Policy (CP) for the Resource Public Key Infrastructure (RPKI)", BCP 173, RFC 6484, February 2012.

[RFC6484] Kent、S.、Kong、D.、Seo、K。、およびR. Watro、「Resource Public Key Infrastructure(RPKI)の証明書ポリシー(CP)」、BCP 173、RFC 6484、2012年2月。

[RFC6487] Huston, G., Michaelson, G., and R. Loomans, "A Profile for X.509 PKIX Resource Certificates", RFC 6487, February 2012.

[RFC6487] Huston、G.、Michaelson、G。、およびR. Loomans、「X.509 PKIXリソース証明書のプロファイル」、RFC 6487、2012年2月。

Authors' Addresses


Andrew Lee Newton American Registry for Internet Numbers 3635 Concorde Parkway Chantilly, VA 20151 USA

アンドリューリーニュートンインターネット番号のアメリカレジストリ3635 Concorde Parkway Chantilly、VA 20151 USA


Geoff Huston Asia Pacific Network Information Center 6 Cordelia Street South Brisbane QLD 4101 Australia

Geoff Huston Asia Pacific Network Information Center 6 Cordelia Street South Brisbane QLD 4101 Australia