Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina illustra i requisiti per le autorità di certificazione (CA) che partecipano al programma Microsoft Trusted Root Certificate Program ("Program") insieme ai requisiti per l'uso di ognuna delle proprietà di utilizzo delle chiavi estese (EKU) attualmente supportate da Microsoft come parte del programma Microsoft Trusted Root Certificate Program.
Trovare i requisiti per CA Commerciali e CA Governative insieme alle informazioni su ciò che costituisce una CA Governativa e sul modo in cui i requisiti cambiano per le CA Governative nella sezione definizioni.
Suggerimento
Aggiungere un segnalibro a questa pagina: https://aka.ms/auditreqs
Requisiti generali
Microsoft richiede che ogni Autorità di Certificazione invii evidenza di un Audit Qualificante su base annuale per la CA e qualsiasi radice non limitata all'interno della catena PKI (Public Key Infrastructure). Un controllo idoneo deve soddisfare i cinque requisiti principali seguenti:
- Il revisore deve essere qualificato.
- Il controllo deve essere eseguito usando l'ambito appropriato.
- Il controllo deve essere eseguito usando lo standard appropriato.
- Il controllo deve essere eseguito e la lettera di attestazione deve essere emessa entro il periodo di tempo appropriato.
- Il revisore deve completare e inviare un'attestazione idonea.
È responsabilità della CA fornire a Microsoft un'attestazione idonea ai risultati del controllo e della conformità ai requisiti di controllo in modo tempestivo.
A. Qualifiche del revisore
Microsoft considera un revisore qualificato come revisore qualificato se è una persona indipendente o una società certificata per eseguire controlli dell'autorità di certificazione da una di queste tre autorità: (1) WebTrust, (2) un'autorità nazionale equivalente ETSI (pubblicata in https://aka.ms/ena) o (3) nel caso di una CA governativa, il governo stesso. Per altre informazioni sulle autorità di certificazione governative, vedere Requisiti della CA per enti pubblici.
Se una CA sceglie di ottenere un controllo WebTrust, Microsoft richiede alla CA di mantenere un revisore con licenza WebTrust per eseguire il controllo. L'elenco completo dei revisori con licenza WebTrust è disponibile all'indirizzo https://aka.ms/webtrustauditors. Se una CA sceglie di ottenere un controllo basato su ETSI, Microsoft richiede alla CA di conservare un'entità autorizzata da un'autorità nazionale equivalente (o "ENAs"). Un catalogo di ENA accettabili si basa sull'elenco in https://aka.ms/ena. Se una CA viene gestita in un paese che non dispone di un'autorità nazionale equivalente ETSI, Microsoft accetta un controllo eseguito da un revisore qualificato in un'autorità nazionale equivalente nel paese di residenza del revisore.
B. Ambito del controllo
L'ambito del controllo deve includere tutte le radici, le sottoradici non limitate e le radici non iscritte con firma incrociata, tranne le sottoradici limitate a un dominio verificato. Il controllo deve anche documentare la gerarchia PKI completa. Le dichiarazioni di revisione contabili finali devono trovarsi in un luogo accessibile al pubblico e devono contenere le date di inizio e di fine del periodo di revisione. Nel caso di un controllo WebTrust, anche i sigilli WebTrust devono trovarsi in una posizione accessibile pubblicamente.
C. Valutazioni di idoneità puntuale
Microsoft richiede un audit prima di iniziare le operazioni commerciali. Per le CA commerciali che non sono state operative come autorità di certificazione per 90 giorni o più, Microsoft accetta un controllo di idoneità temporizzato condotto da un revisore qualificato. Se la CA usa un controllo di idoneità temporizzato, Microsoft richiede un controllo di completamento entro 90 giorni dopo che la CA rilascia il primo certificato. Una CA commerciale già presente nel nostro programma che richiede l'inclusione di un nuovo certificato root è esente dal requisito di audit puntuale e a intervalli di tempo per i nuovi certificati root. Piuttosto, dovrebbero essere aggiornati sui controlli per le loro radici esistenti nel programma.
D. Periodo di tempo tra la valutazione e l'attestazione del revisore
Microsoft richiede che l'autorità di certificazione ottenga un controllo conforme annualmente. Per garantire che Microsoft disponga di informazioni che riflettano accuratamente le procedure aziendali correnti della CA, la lettera di attestazione derivante dal controllo deve essere datata e ricevuta da Microsoft non più di tre mesi dalla data di fine specificata nella lettera di attestazione.
E. Attestazione di verifica contabile
Microsoft richiede che ogni revisore completi e invii a Microsoft un'attestazione idonea. Un'attestazione idonea richiede che il revisore completi una lettera di attestazione idonea.
Microsoft usa uno strumento per analizzare automaticamente le lettere di controllo per convalidare l'accuratezza della lettera di attestazione idonea. Questo strumento si trova nel database dell'autorità di certificazione comune (CCADB). Collaborare con il revisore per assicurarsi che la lettera di attestazione idonea soddisfi i requisiti seguenti. Se la lettera di controllo non riesce in una di queste categorie, viene inviato un messaggio di posta elettronica all'autorità di certificazione che richiede di aggiornare la lettera di controllo.
ALL CAS
- La lettera di controllo deve essere scritta in inglese
- La lettera di controllo deve essere in formato PDF ricercabile.
- La lettera di controllo deve avere il nome del revisore nella lettera di controllo come registrato in CCADB.
- La lettera di controllo deve elencare l'impronta SHA1 o l'impronta SHA256 delle radici auditate.
- La lettera di controllo deve elencare la data in cui è stata scritta la lettera di controllo.
- La lettera di controllo deve indicare le date di inizio e di fine del periodo controllato. Si noti che questo periodo di tempo non è il periodo in cui il revisore era in loco.
- La lettera di controllo deve includere il nome completo della CA come registrato in CCADB.
- La lettera di controllo deve elencare gli standard di controllo utilizzati durante il controllo. Fare riferimento alle linee guida WebTrust/ETSI o https://aka.ms/auditreqs elencare il nome completo e la versione degli standard di controllo a cui si fa riferimento.
Autorità di Certificazione che inviano controlli Webtrust
I controlli eseguiti dai revisori WebTrust certificati devono avere le lettere di controllo caricate in https://cert.webtrust.org.
Autorità di certificazione che inviano controlli ETSI
- I controlli condotti dai revisori ETSI certificati devono avere le loro lettere di controllo caricate nel sito Web del revisore. Se il revisore non pubblica sul proprio sito Web, l'autorità di certificazione deve fornire il nome e l'e-mail del revisore quando si invia la lettera di controllo. Un rappresentante Microsoft si rivolge al revisore per verificare l'autenticità della lettera.
- Le autorità di certificazione possono inviare revisioni secondo il criterio EN 319 411-2 o il criterio 411-2.
F. Invio di controllo
Per inviare controlli annuali, vedere le istruzioni di CCADB su come creare un caso di controllo disponibile qui: https://ccadb.org/cas/updates.
Se l'autorità di certificazione presenta domanda per l'inclusione nell'archivio radice e non si trova nel database CCADB, deve inviare via email la sua attestazione di audit a msroot@microsoft.com.
Standard di controllo CA convenzionali
Il programma accetta due tipi di standard di controllo: WebTrust e ETSI. Per ogni EKU a sinistra, Microsoft richiede un controllo conforme allo standard contrassegnato.
Nota
A partire da febbraio 2024, i provider CA devono assicurarsi che le CA radice abilitate per S/MIME e tutte le CA subordinate in grado di emettere certificati S/MIME siano stati e continueranno a essere sottoposti a verifica rispetto alla versione più recente di almeno uno dei seguenti insiemi di criteri.
- Principi e criteri WebTrust per le autorità di certificazione - S/MIME
- ETSI TS 119 411-6 LCP, NCP o NCP+
A. Verifiche WebTrust
Microsoft richiederà d'ora in poi i Principi e i Criteri di WebTrust Trust Services per le autorità di certificazione, tra cui la firma del codice, per qualsiasi rapporto di revisione con periodi che iniziano dal 1° gennaio 2018 o successivamente. Questa operazione sarà necessaria per qualsiasi autorità di certificazione che abbia l'EKU di firma del codice abilitato per i loro root. Se una CA ha abilitato la firma del codice EKU in una radice ma non emette attivamente certificati di firma del codice, può contattare il msroot@microsoft.com per impostare lo stato EKU su "NotBefore".
| Criteri | WebTrust per CA v2.1 | Baseline SSL con sicurezza di rete v2.3 | Convalida estesa SSL v1.6.2 | Firma del codice di convalida estesa v1.4.1 | Certificati di firma del codice pubblicamente attendibili v1.0.1 | Principi e criteri WebTrust per le autorità di certificazione - S/MIME |
|---|---|---|---|---|---|---|
| Autenticazione server (non EV) | X | X | ||||
| Solo autenticazione server (non EV) e autenticazione client | X | X | ||||
| Autenticazione server (EV) | X | X | X | |||
| Solo autenticazione server (EV) e autenticazione client | X | X | X | |||
| Firma del codice EV | X | X | ||||
| Firma del codice Non-EV e marcatura temporale | X | X | ||||
| Posta elettronica protetta (S/MIME) | X | X | ||||
| Autenticazione client (senza autenticazione server) | X | |||||
| Firma del documento | X |
B. Verifiche basate su ETSI
Nota 1: se un'autorità di certificazione usa un controllo basato su ETSI, deve eseguire un controllo completo ogni anno e Microsoft non accetterà i controlli di sorveglianza. Nota 2: tutte le dichiarazioni di revisione ETSI devono essere verificate in base ai requisiti del Forum CA/Browser e la conformità a questi requisiti deve essere dichiarata nella lettera di revisione. ACAB'c https://acab-c.com ha fornito indicazioni che soddisfano i requisiti Microsoft.
| Criteri | EN 319 411-1: politiche DVCP, OVCP o PTC-BR | EN 319 411-1: politica EVCP | EN 319 411-2: Politica QCP-w/QEVCP-w (basato su EN 319 411-1, EVCP) | EN 319 411-1: LCP, NCP, NCP+ politiche | EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd policies (basato su EN 319 411-1, NCP/NCP+) | Criteri ETSI EN 319 411-1, LCP, NCP o NCP+ modificati da ETSI TS 119 411-6 o ETSI EN 319 411-2, QCP-n, QCP-I, QCP-n-qscd o QCP-I-qscd come modificato da ETSI TS 411-6 |
|---|---|---|---|---|---|---|
| Autenticazione server (non EV) | X | |||||
| Solo autenticazione server (non EV) e autenticazione client | X | |||||
| Autenticazione server (EV) | X | |||||
| Solo autenticazione server (EV) e autenticazione client | X | X | ||||
| Firma del codice EV | X | X | ||||
| Firma del codice non-EV e marcatura temporale | X | X | ||||
| Posta elettronica protetta (S/MIME) | X | X | X | |||
| Autenticazione client (senza autenticazione server) | X | X | ||||
| Firma del documento | X | X |
Requisiti della CA per enti pubblici
Le autorità di certificazione governative potrebbero scegliere di ottenere i controlli basati su WebTrust o ETSI descritti in precedenza necessari per le CA commerciali o per usare un controllo equivalente. Se un'autorità di certificazione per enti pubblici sceglie di ottenere un controllo basato su WebTrust o ETSI, Microsoft considererà la CA per enti pubblici come ca commerciale. L'autorità di certificazione per enti pubblici può quindi funzionare senza limitare i certificati che rilascia.
A. Restrizioni di controllo equivalenti
Se l'autorità di certificazione per enti pubblici sceglie di non usare un controllo WebTrust o ETSI, può ottenere un controllo equivalente. In un controllo equivalente ("EA"), la CA per enti pubblici seleziona una terza parte per eseguire un controllo. Il controllo ha due scopi: (1) per dimostrare che la CA governativa è conforme alle leggi locali e alle normative relative all'operazione dell'autorità di certificazione e (2) per dimostrare che il controllo è sostanzialmente conforme allo standard WebTrust o ETSI pertinente.
Se un'autorità di certificazione (CA) per enti pubblici sceglie di ottenere un EA (Enterprise Agreement), Microsoft limita l'ambito dei certificati che la CA potrebbe emettere. Le ca governative che rilasciano certificati di autenticazione server devono limitare la radice ai domini controllati dal governo. I governi devono limitare il rilascio di certificati ad altri codici paese ISO3166 su cui il paese ha il controllo sovrano.
Le autorità di certificazione governative devono anche accettare e adottare i requisiti di base del forum CAB appropriati per le CA in base al tipo di certificati ai problemi radice. Tuttavia, i requisiti di programma e i requisiti di controllo sostituisce tali requisiti in qualsiasi aspetto in cui sono in conflitto.
Tutte le Autorità di Certificazione governative che entrano nel programma sono soggette ai requisiti EA sopra indicati. Tutte le autorità di certificazione governative che fanno parte del programma prima del 1° giugno 2015 saranno soggette ai requisiti EA descritti in precedenza immediatamente alla scadenza del loro controllo corrente.
B. Contenuto del report di controllo equivalente
Microsoft richiede che tutte le Autorità di Certificazione governative che inviano un Enterprise Agreement forniscano una lettera di attestazione dall'auditor che:
- Attesta che il controllo viene emesso da un'agenzia indipendente, autorizzata dal governo degli Enti pubblici per condurre il controllo.
- Elenca i criteri dell'autorità di certificazione del governo per la qualifica di revisore e certifica che il revisore soddisfi questi criteri.
- Elenca gli statuti, le regole e/o i regolamenti specifici contro cui il revisore ha valutato le operazioni delle CA governative.
- Certifica la conformità dell'autorità di certificazione governativa ai requisiti elencati nei regolamenti, nelle norme e/o normative.
- Fornisce informazioni che descrivono in che modo i requisiti dello statuto sono equivalenti ai controlli WebTrust o ETSI appropriati.
- Elenca le autorità di certificazione e le terze parti autorizzate dalla CA per enti pubblici per rilasciare certificati per conto della CA per enti pubblici all'interno di una catena di certificati.
- Documenta la gerarchia PKI completa.
- Fornisce la data di inizio e di fine del periodo di controllo.
Definizioni
CA per enti pubblici
Una "CA del governo" è un'entità che firma l'Accordo del Programma Governativo.
CA commerciale
Una "CA commerciale" è un'entità che firma l'Accordo del Programma Commerciale.
Autorità di certificazione
"Autorità di certificazione" o "CA" significa un'entità che rilascia certificati digitali in conformità alle leggi e alle normative locali.
Leggi e normative locali
"Leggi e normative locali" indica le leggi e le normative applicabili a una CA con cui l'autorità di certificazione è autorizzata a rilasciare certificati digitali, che definiscono i criteri, le regole e gli standard applicabili per il rilascio, la gestione o la revoca dei certificati, inclusa la frequenza di controllo e la procedura.