Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta página se establecen los requisitos para que las entidades de certificación (CA) participen en el Programa de certificados raíz de confianza de Microsoft (el "Programa") junto con los requisitos para utilizar cada una de las propiedades de uso mejorado de clave (EKU) que Microsoft admite actualmente como parte de este.
Busque los requisitos de las CA comerciales y las CA gubernamentales, así como información sobre lo que constituye una CA gubernamental y cómo están cambiando los requisitos para las CA gubernamentales en la sección de definiciones.
Sugerencia
Agregue un marcador en esta página: https://aka.ms/auditreqs.
Requisitos generales
Microsoft requiere que cada entidad de certificación presente pruebas de una auditoría de calificación anual para la entidad de certificación y cualquier raíz sin límites dentro de su cadena de infraestructura de clave pública (PKI). Una auditoría apta debe cumplir los cinco requisitos principales siguientes:
- El auditor debe ser apto.
- La auditoría debe realizarse con el ámbito adecuado.
- La auditoría debe realizarse con el estándar adecuado.
- La auditoría se debe realizar y la carta de atestación debe emitirse en el plazo adecuado.
- El auditor debe completar y enviar una atestación apta.
Es responsabilidad de la entidad de certificación proporcionar a Microsoft cuando proceda una atestación apta que certifique los resultados de la auditoría, así como la conformidad con los requisitos de auditoría.
A Cualificaciones el auditor
Microsoft considera que un auditor está cualificado si es una persona o empresa independiente certificada para realizar auditorías de entidades de certificación por una de estas tres autoridades: (1) WebTrust, (2) una autoridad nacional equivalente a ETSI (publicada en https://aka.ms/ena) o, (3) en el caso de una entidad de certificación de la administración pública, la propia administración. (Para más información sobre las entidades de certificación de la administración pública, consulte Requisitos de entidades de certificación de la administración pública).
Si una entidad de certificación decide obtener una auditoría de WebTrust, Microsoft requiere que la entidad de certificación conserve un auditor con licencia de WebTrust para realizar la auditoría. La lista completa de auditores con licencia de WebTrust está disponible en https://aka.ms/webtrustauditors. Si una entidad de certificación opta por obtener una auditoría de ETSI, Microsoft le exige que mantenga una entidad autorizada por una autoridad nacional equivalente (o "ENA"). En la lista de https://aka.ms/ena encontrará un catálogo de ENA aceptables. Si una entidad de certificación opera en un país que no tiene una Autoridad nacional equivalente de ETSI, Microsoft acepta una auditoría realizada por un auditor que cuente con la cualificación de una Autoridad nacional equivalente en país del auditor.
B. Ámbito de la auditoría
El ámbito de la auditoría debe incluir todas las raíces, subraíces sin límite y raíces no inscritas con firmas cruzadas, bajo la raíz, excepto en el caso de subraíces que están limitadas a un dominio comprobado. La auditoría también debe documentar la jerarquía de PKI completa. Las instrucciones de auditoría finales deben estar en una ubicación públicamente accesible y deben contener las fechas de inicio y fin del período de auditoría. En el caso de una auditoría de WebTrust, los sellos de WebTrust también deben estar en una ubicación públicamente accesible.
C. Evaluaciones de idoneidad en un momento dado
Microsoft requiere una auditoría antes de iniciar operaciones comerciales. Para entidades de certificación comerciales que no han estado en funcionamiento como un emisor de certificados durante 90 días o más, Microsoft acepta una auditoría de preparación en un momento dado realizada por un auditor cualificado. Si la entidad de certificación usa una auditoría de preparación en un momento dado, Microsoft requiere una auditoría de seguimiento en un plazo de 90 días después de que la entidad de certificación emita su primer certificado. Una entidad de certificación comercial que ya esté en nuestro programa y solicite que se incluya un nuevo certificado raíz está exenta del requisito de auditoría en un momento dado y en un período de tiempo para los nuevos certificados. En su lugar, deben tener las auditorías de los certificados raíz existentes en el programa al día.
D. Período de tiempo entre la evaluación y la atestación de la auditoría
Microsoft requiere que la entidad de certificación obtenga una auditoría conforme anualmente. Para asegurarse de que Microsoft tiene información que refleja con exactitud las prácticas empresariales actuales de la entidad de certificación, la carta de autenticación que surja de la auditoría debe ser fechada y recibida por Microsoft en un plazo no superior a 3 meses desde la fecha de finalización especificada en la carta de autenticación.
E. Atestación de la auditoría
Microsoft requiere que los auditores completen y le envíen una atestación apta. Una atestación apta requiere que el auditor complete una carta de atestación apta.
Microsoft usa una herramienta de análisis automático de las cartas de auditoría para validar la precisión de la carta de atestación apta. Esta herramienta se encuentra en la base de datos de la entidad de certificación común (CCADB). Trabaje con su auditor para asegurarse de que la carta de atestación apta cumple los requisitos siguientes. Si se produce un error en la carta de auditoría en cualquiera de estas categorías, se envía un correo electrónico a la entidad de certificación en el que se le pedirá que la actualice.
Todas las entidades de certificación
- La carta de auditoría debe escribirse en inglés.
- La carta de auditoría debe estar en formato PDF con texto reconocible.
- La carta de auditoría debe incluir el nombre del auditor en ella, tal como se registra en la base de datos CCADB.
- La carta de auditoría debe enumerar la huella digital de SHA-1 o de SHA-256 de los certificados raíz auditados.
- La carta de auditoría debe indicar la fecha en que se redactó.
- La carta de auditoría debe especificar las fechas de inicio y de fin del período que se auditó. Tenga en cuenta que este período de tiempo no es el período en el que el auditor estuvo en las instalaciones.
- La carta de auditoría debe incluir el nombre completo de la entidad de certificación, tal y como se registra en la base de datos CCADB.
- La carta de auditoría debe enumerar los estándares de auditoría que se usaron. Consulte las directrices de WebTrust/ETSI o https://aka.ms/auditreqs, e indique el nombre completo y la versión de los estándares de auditoría a los que se hace referencia.
Entidades de certificación que envían auditorías de Webtrust
Las auditorías realizadas por auditores certificados de WebTrust deben tener sus cartas de auditoría cargadas en https://cert.webtrust.org.
Entidades de certificación que envían auditorías de ETSI
- Las auditorías realizadas por auditores certificados de ETSI deben tener sus cartas de auditoría cargadas en el sitio web del auditor. Si el auditor no publica en su sitio web, la entidad de certificación debe proporcionar el nombre y el correo electrónico del auditor al enviar la carta de auditoría. Un representante de Microsoft se pone en contacto con el auditor para comprobar la autenticidad de la carta.
- Las entidades de certificación pueden enviar auditorías con la directiva EN 319 411-2 o 411-2.
F. Envío de las auditorías
Para enviar las auditorías anuales, consulte las instrucciones de la base de datos CCADB sobre cómo crear un caso de auditoría aquí: https://ccadb.org/cas/updates.
Si la entidad de certificación solicita inclusión al almacén raíz y no está en la base de datos CCADB, debe enviar su atestación de auditoría por correo electrónico a msroot@microsoft.com.
Estándares de auditoría de entidades de certificación convencionales
El Programa acepta dos tipos de estándares de auditoría: WebTrust y ETSI. Para cada uno de los EKU de la izquierda, Microsoft requiere una auditoría que se ajuste al estándar marcado.
Nota:
A partir de febrero de 2024, los proveedores de CA deben asegurarse de que sus CA raíz habilitadas para S/MIME y todas las CA subordinadas capaces de emitir certificados S/MIME se hayan auditado, y se sigan auditando, con la última versión de uno de los siguientes conjuntos de criterios como mínimo.
- Principios y criterios de WebTrust para entidades de certificación - S/MIME
- ETSI TS 119 411-6 LCP, NCP o NCP+
A Auditorías de WebTrust
Microsoft ahora exigirá los principios y criterios de los servicios de confianza de WebTrust para las entidades de certificación: firma de código para cualquier declaración de auditoría con períodos que empiezan el 1 de enero de 2018 o después. Serán obligatorios para cualquier entidad de certificación que tenga habilitado el EKU de firma de código para sus certificados raíz. Si una entidad de certificación tiene habilitado el EKU de firma de código en un certificado raíz, pero no emite certificados de firma de código activamente, pueden escribir a msroot@microsoft.com para que establezcan el estado del EKU en "NotBefore".
| Criterios | WebTrust para entidades de certificación v2.1 | Base de referencia de SSL con seguridad de red v2.3 | Validación extendida de SSL v1.6.2 | Validación extendida de firma de código v1.4.1 | Certificados de firma de código de confianza pública v1.0.1 | Principios y criterios de WebTrust para entidades de certificación - S/MIME |
|---|---|---|---|---|---|---|
| Autenticación del servidor (no EV) | X | X | ||||
| Solo autenticación de servidor (no EV) y autenticación de cliente | X | X | ||||
| Autenticación de servidor (EV) | X | X | X | |||
| Solo autenticación de servidor (EV) y autenticación de cliente | X | X | X | |||
| Firma de código de EV | X | X | ||||
| Firma de código no de EV y marca de tiempo | X | X | ||||
| Correo electrónico seguro (S/MIME) | X | X | ||||
| Autenticación de cliente (sin autenticación de servidor) | X | |||||
| Firma de documentos | X |
B. Auditorías basadas en ETSI
Nota 1: Si una entidad de certificación usa una auditoría basada en ETSI, debe realizar una auditoría completa anualmente y Microsoft no aceptará auditorías de vigilancia. Nota 2: Todas las declaraciones de auditoría de ETSI se deben auditar de conformidad con los requisitos del foro CA/Browser Forum y el cumplimiento de estos requisitos debe indicarse en la carta de auditoría. El ACAB'c https://acab-c.com ha proporcionado instrucciones que cumplen los requisitos de Microsoft.
| Criterios | Directivas EN 319 411-1: DVCP, OVCP o PTC-BR | Directiva EN 319 411-1: EVCP | Directiva EN 319 411-2: QCP-w/QEVCP-w (basada en EN 319 411-1, EVCP) | Directivas EN 319 411-1: LCP, NCP, NCP+ | Directivas EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd (basadas en EN 319 411-1, NCP/NCP+) | Directivas ETSI EN 319 411-1, LCP, NCP o NCP+ modificadas por las directivas ETSI TS 119 411-6 o ETSI EN 319 411-2, QCP-n, QCP-I, QCP-n-qscd o las directivas QCP-I-qscd modificadas por ETSI TS 411-6 |
|---|---|---|---|---|---|---|
| Autenticación del servidor (no EV) | X | |||||
| Solo autenticación de servidor (no EV) y autenticación de cliente | X | |||||
| Autenticación de servidor (EV) | X | |||||
| Solo autenticación de servidor (EV) y autenticación de cliente | X | X | ||||
| Firma de código de EV | X | X | ||||
| Firma de código no de EV y marca de tiempo | X | X | ||||
| Correo electrónico seguro (S/MIME) | X | X | X | |||
| Autenticación de cliente (sin autenticación de servidor) | X | X | ||||
| Firma de documentos | X | X |
Requisitos de entidades de certificación de la administración pública
Las entidades de certificación de la administración pública pueden elegir entre obtener las auditorías de WebTrust o basadas en ETSI descritas anteriormente obligatorias para las entidades de certificación comerciales, o bien, utilizar una auditoría equivalente. Si una entidad de certificación de la administración pública decide obtener una auditoría de WebTrust o ETSI, Microsoft tratará a la entidad de certificación de la administración pública como una entidad de certificación comercial. A continuación, la entidad de certificación de la administración pública puede funcionar sin limitación en la emisión de certificados.
A Restricciones de las auditorías equivalentes
Si la entidad de certificación de la administración pública decide no usar una auditoría de WebTrust o ETSI, puede obtener una auditoría equivalente. En una auditoría equivalente ("EA"), la entidad de certificación de la administración pública selecciona un tercero para que realice la auditoría. La auditoría tiene dos fines: (1) demostrar que la entidad de certificación de la administración pública cumple la legislación y las reglamentaciones locales relacionadas con el funcionamiento de las entidades de certificación, y (2) demostrar que la auditoría cumple sobradamente el estándar de WebTrust o ETSI pertinente.
Si elige una entidad de certificación de la administración pública para obtener una EA, Microsoft limita el ámbito de los certificados que dicha entidad puede emitir. Las entidades de certificación de la administración pública que emiten certificados de autenticación de servidor deben limitar la raíz a los dominios controlados por la administración pública. Las administraciones públicas deben limitar la emisión de cualquier otro certificado a los códigos de país de ISO3166 sobre los que el país tiene control soberano.
Las entidades de certificación de la administración pública también deben aceptar y adoptar los requisitos de línea de base del foro de CAB adecuados para las entidades de certificación en función del tipo de certificados que emite la raíz. Sin embargo, los requisitos del Programa y de auditoría sustituyen a esos requisitos en todos los aspectos en los entren en conflicto.
Todas las entidades de certificación de la administración pública que entren en el Programa están sujetas a los requisitos de EA anteriores. Todas las entidades de certificación de la administración pública que forman parte del Programa antes del 1 de junio de 2015, se someterán a los requisitos de EA descritos anteriormente inmediatamente después de la expiración de su auditoría vigente en ese momento.
B. Contenido del informe de auditoría equivalente
Microsoft requiere que todas las entidades de certificación de la administración pública que envíen una EA proporcionen una carta de atestación del auditor que:
- Declare que la auditoría la emite una agencia independiente que tiene la autorización del gobierno de la entidad de certificación de la administración pública para llevar a cabo la auditoría.
- Enumere los criterios del gobierno de la entidad de certificación de la administración pública para la cualificación del auditor y certifique que el auditor cumple estos criterios.
- Enumere los estatutos, reglas y/o reglamentos particulares que el auditor utilizó para evaluar las operaciones de la entidad de certificación de la administración pública.
- Certifique que la entidad de certificación de la administración pública cumple los requisitos descritos en los estatutos, reglas y/o reglamentos del gobierno mencionados.
- Proporcione información que describa la equivalencia de los requisitos del estatuto con las auditorías de WebTrust o ETSI adecuadas.
- Enumere las entidades de certificación y terceros autorizados por la entidad de certificación de la administración pública para emitir certificados en nombre de dicha entidad dentro de una cadena de certificados.
- Documente la jerarquía de PKI completa.
- Proporcione la fecha de inicio y finalización del periodo de auditoría.
Definiciones
Entidad de certificación de la administración pública
Una "entidad de certificación de la administración pública" es una entidad que firma el Contrato del Programa de Administración Pública.
Entidad de certificación comercial
Una "entidad de certificación comercial" es una entidad que firma el Contrato del Programa Comercial.
Entidad de certificación
"Entidad de certificación" o "CA" es una entidad que emite certificados digitales de acuerdo con las leyes y reglamentos locales.
Legislación y reglamentos locales
"Leyes y reglamentos locales" son las leyes y reglamentos aplicables a una entidad de certificación bajo las cuales esta tiene autorización para emitir certificados digitales que establecen las directivas, las reglas y los estándares aplicables para emitir, mantener o revocar certificados, incluida la frecuencia y el procedimiento de auditoría.