Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Op deze pagina worden de vereisten beschreven voor certificeringsinstanties (CA's) die deelnemen aan het Microsoft Trusted Root Certificate Program ('Programma') samen met de vereisten voor het gebruik van alle uitgebreide sleutelgebruikseigenschappen (EKU's) die Microsoft momenteel ondersteunt als onderdeel van het Vertrouwde basiscertificaatprogramma van Microsoft.
Zoek de vereisten voor commerciële CA's en overheids-CA's, samen met informatie over wat een overheids-CA is en hoe de vereisten veranderen voor overheids-CA's in de sectie definities.
Tip
Maak een bladwijzer voor deze pagina: https://aka.ms/auditreqs
Algemene vereisten
Microsoft vereist dat elke CA elk jaar bewijs van een in aanmerking komende audit indient voor de CA en elke niet-gescheiden hoofdmap binnen de PKI-keten (Public Key Infrastructure). Een in aanmerking komende audit moet voldoen aan de volgende vijf hoofdvereisten:
- De auditor moet gekwalificeerd zijn.
- De controle moet worden uitgevoerd met het juiste bereik.
- De controle moet worden uitgevoerd met behulp van de juiste standaard.
- De controle moet worden uitgevoerd en de attestation-brief moet binnen de juiste periode worden uitgegeven.
- De auditor moet een in aanmerking komende attestation voltooien en indienen.
Het is de verantwoordelijkheid van de CA om Microsoft tijdig een in aanmerking komende attestation te bieden aan de resultaten van de controle en naleving van de auditvereisten.
A. De kwalificaties van de auditor
Microsoft beschouwt een auditor als een gekwalificeerde auditor als ze een onafhankelijke persoon of onderneming zijn die is gecertificeerd voor het uitvoeren van certificeringsinstantiecontroles door een van deze drie autoriteiten: (1) WebTrust, (2) een equivalente nationale autoriteit voor ETSI (gepubliceerd op https://aka.ms/ena) of (3) in het geval van een overheids-CA, de overheid zelf. (Zie voor meer informatie over overheids-CA's Ca-vereisten voor de overheid.)
Als een CA ervoor kiest om een WebTrust-audit te verkrijgen, vereist Microsoft dat de CA een door WebTrust gelicentieerde auditor behoudt om de audit uit te voeren. De volledige lijst met door WebTrust gelicentieerde auditors is beschikbaar op https://aka.ms/webtrustauditors. Als een CA ervoor kiest om een op ETSI gebaseerde audit te verkrijgen, moet de CA een geautoriseerde entiteit behouden door een equivalente nationale autoriteit (of "ENA's"). Een catalogus met acceptabele ENA's is gebaseerd op de lijst op https://aka.ms/ena. Als een CA wordt uitgevoerd in een land dat geen equivalente nationale autoriteit voor ETSI heeft, accepteert Microsoft een audit die wordt uitgevoerd door een auditor die is gekwalificeerd onder een equivalente nationale autoriteit in het land van de auditor.
B. Het bereik van de controle
Het bereik van de controle moet alle hoofdmappen, niet-gescheiden subroots en kruisondertekende niet-ingeschreven hoofdmappen bevatten, met uitzondering van subroots die zijn beperkt tot een geverifieerd domein. De controle moet ook de volledige PKI-hiërarchie documenteeren. De definitieve auditinstructies moeten zich op een openbaar toegankelijke locatie bevinden en moeten de begin- en einddatums van de controleperiode bevatten. In het geval van een WebTrust-audit moeten WebTrust-afdichtingen zich ook op een openbaar toegankelijke locatie bevinden.
C. Point-in-Time Gereedheidsevaluaties
Microsoft vereist een controle voordat commerciële activiteiten worden gestart. Voor commerciële CA's die gedurende 90 dagen of langer niet als verlener van certificaten zijn uitgevoerd, accepteert Microsoft een controle op gereedheid voor een bepaald tijdstip die wordt uitgevoerd door een gekwalificeerde auditor. Als de CA gebruikmaakt van een controle op gereedheid voor een bepaald tijdstip, vereist Microsoft binnen 90 dagen nadat de CA het eerste certificaat heeft uitgegeven, een vervolgcontrole vereist. Een commerciële CA die al in ons programma staat om een nieuwe hoofdmap op te nemen, is vrijgesteld van de controlevereiste voor een bepaald tijdstip en een periode-in-tijd voor de nieuwe roots. In plaats daarvan moeten ze up-to-date zijn op audits voor hun bestaande roots in het programma.
D. De periode tussen de evaluatie en de attestation van de auditor
Microsoft vereist dat de CA jaarlijks een conforme controle krijgt. Om ervoor te zorgen dat Microsoft informatie heeft die de huidige bedrijfsprocessen van de CA nauwkeurig weerspiegelt, moet de attestation-brief die voortvloeit uit de audit, worden gedateerd en ontvangen door Microsoft niet meer dan drie maanden vanaf de einddatum die is opgegeven in de attestation-brief.
E. Attestation controleren
Microsoft vereist dat elke auditor een in aanmerking komende attestation voltooit en indient bij Microsoft. Voor een kwalificatieverklaring moet de auditor een in aanmerking komende Attestation-brief voltooien.
Microsoft gebruikt een hulpprogramma om auditbrieven automatisch te parseren om de nauwkeurigheid van de kwalificatieverklaring te valideren. Dit hulpprogramma vindt u in de Common Certification Authority Database (CCADB). Werk samen met uw auditor om ervoor te zorgen dat de kwalificatieverklaring voldoet aan de volgende vereisten. Als de auditbrief in een van deze categorieën mislukt, wordt er een e-mail teruggestuurd naar de CA waarin ze wordt gevraagd hun auditbrief bij te werken.
ALL CAS
- Auditbrief moet in het Engels worden geschreven
- De auditbrief moet een PDF-indeling 'Tekst doorzoekbaar' hebben.
- De auditbrief moet de naam van de auditor in de auditbrief hebben zoals vastgelegd in CCADB.
- Controlebrief moet de SHA1-vingerafdruk of SHA256-vingerafdruk van gecontroleerde wortels vermelden.
- De auditbrief moet de datum vermelden waarop de auditbrief is geschreven.
- De auditbrief moet de begin- en einddatums van de gecontroleerde periode aangeven. Let op: deze periode is niet de periode waarop de auditor ter plaatse was.
- De auditbrief moet de volledige naam van de CA bevatten, zoals vastgelegd in CCADB.
- De auditbrief moet de auditstandaarden vermelden die tijdens de controle zijn gebruikt. Reference WebTrust/ETSI guidelines or https://aka.ms/auditreqs and list the full name and version of the audit standards reference.
CA's die Webtrust-controles indienen
Controles die worden uitgevoerd door gecertificeerde WebTrust-auditors, moeten hun auditbrieven hebben geüpload naar https://cert.webtrust.org.
CA's die ETSI-controles indienen
- Audits die worden uitgevoerd door gecertificeerde ETSI-auditors, moeten hun auditbrieven naar de website van de auditor laten uploaden. Als de auditor niet op hun website plaatst, moet de CA de naam en het e-mailadres van de auditor opgeven bij het indienen van de auditbrief. Een Microsoft-vertegenwoordiger gaat naar de auditor om de echtheid van de brief te verifiëren.
- Ca's kunnen audits indienen met het EN 319 411-2- of 411-2-beleid.
F. Indiening controleren
Als u jaarlijkse audits wilt indienen, raadpleegt u de CCADB-instructies voor het maken van een auditcase die hier wordt gevonden: https://ccadb.org/cas/updates.
Als de CA wordt toegepast in het basisarchief en zich niet in de CCADB bevindt, moeten ze hun controleverklaring per e-mail verzenden naar msroot@microsoft.com.
Conventionele CA-Standaard controle s
Het programma accepteert twee soorten controlestandaarden: WebTrust en ETSI. Voor elk van de EKU's aan de linkerkant vereist Microsoft een controle die voldoet aan de standaard die is gemarkeerd.
Notitie
Vanaf februari 2024 moeten CA-providers ervoor zorgen dat hun basis-CA's met S/MIME-functionaliteit en alle onderliggende CA's die S/MIME-certificaten kunnen verlenen, zijn en worden gecontroleerd op basis van de meest recente versie van ten minste een van de onderstaande sets criteria.
- WebTrust Principles and Criteria for Certification Authorities – S/MIME
- ETSI EN 119 411-6 LCP, NCP of NCP+
A. WebTrust-controles
Microsoft vereist nu de principes en criteria van WebTrust Trust Services voor certificeringsinstanties: ondertekening van code voor auditinstructies met perioden die beginnen op of na 1 januari 2018. Dit is vereist voor elke CA waarvoor de EKU voor codeondertekening is ingeschakeld voor hun roots. Als voor een CA de EKU voor ondertekening van programmacode is ingeschakeld in een hoofdmap, maar niet actief certificaten voor het ondertekenen van programmacode worden uitgegeven, kan deze msroot@microsoft.com de EKU-status instellen op 'NotBefore'.
| Criteria | WebTrust voor CA v2.1 | SSL-basislijn met netwerkbeveiliging v2.3 | Uitgebreide validatie SSL v1.6.2 | Uitgebreide validatiecode ondertekenen v1.4.1 | Openbaar vertrouwde certificaten voor ondertekening van programmacode v1.0.1 | WebTrust Principles and Criteria for Certification Authorities – S/MIME |
|---|---|---|---|---|---|---|
| Serververificatie (niet-EV) | X | X | ||||
| Serververificatie (alleen niet-EV) en clientverificatie | X | X | ||||
| Serververificatie (EV) | X | X | X | |||
| Alleen serververificatie (EV) en clientverificatie | X | X | X | |||
| EV-codeondertekening | X | X | ||||
| Ondertekening en tijdstempel van niet-EV-code | X | X | ||||
| Beveiligde e-mail (S/MIME) | X | X | ||||
| Clientverificatie (zonder serververificatie) | X | |||||
| Documentondertekening | X |
B. Op ETSI gebaseerde controles
Opmerking 1: Als een CA gebruikmaakt van een OP ETSI gebaseerde audit, moet deze jaarlijks een volledige controle uitvoeren en accepteert Microsoft geen bewakingscontroles. Opmerking 2: Alle ETSI-auditsverklaringen moeten worden gecontroleerd op basis van de vereisten van het CA-/browserforum en de naleving van deze vereisten moeten worden vermeld in de auditbrief. De ACAB'c https://acab-c.com biedt richtlijnen die voldoen aan de Microsoft-vereisten.
| Criteria | EN 319 411-1: DVCP-, OVCP- of PTC-BR-beleid | EN 319 411-1: EVCP-beleid | EN 319 411-2: QCP-w/QEVCP-w beleid (gebaseerd op EN 319 411-1, EVCP) | EN 319 411-1: LCP, NCP, NCP+ beleid | EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd-beleid (gebaseerd op EN 319 411-1, NCP/NCP+) | ETSI EN 319 411-1, LCP, NCP of NCP+ beleid, gewijzigd bij ETSI TS 119 411-6 of ETSI EN 319 411-2, QCP-n, QCP-I, QCP-n-qscd of QCP-I-qscd-beleid, gewijzigd door ETSI TS 411-6 |
|---|---|---|---|---|---|---|
| Serververificatie (niet-EV) | X | |||||
| Serververificatie (alleen niet-EV) en clientverificatie | X | |||||
| Serververificatie (EV) | X | |||||
| Alleen serververificatie (EV) en clientverificatie | X | X | ||||
| EV-codeondertekening | X | X | ||||
| Ondertekening en tijdstempel van niet-EV-code | X | X | ||||
| Beveiligde e-mail (S/MIME) | X | X | X | |||
| Clientverificatie (zonder serververificatie) | X | X | ||||
| Documentondertekening | X | X |
Ca-vereisten voor de overheid
Ca's van de overheid kunnen ervoor kiezen om de eerder beschreven WebTrust- of ETSI-audit(s) te verkrijgen die vereist zijn voor commerciële CA's of om een equivalente audit te gebruiken. Als een overheids-CA ervoor kiest om een webtrust- of ETSI-audit te verkrijgen, behandelt Microsoft de overheids-CA als een commerciële CERTIFICERINGsinstantie. De ca van de overheid kan vervolgens werken zonder de certificaten te beperken die het uitgeeft.
A. Equivalente controlebeperkingen
Als de overheidsinstantie ervoor kiest geen WebTrust- of ETSI-controle te gebruiken, kan deze een equivalente controle verkrijgen. In een equivalente audit (EA) selecteert de overheids-CA een derde partij om een controle uit te voeren. De controle heeft twee doeleinden: (1) om aan te tonen dat de ca van de overheid voldoet aan lokale wetten en voorschriften met betrekking tot de werking van de certificeringsinstantie, en (2) om aan te tonen dat de audit wezenlijk voldoet aan de relevante WebTrust- of ETSI-norm.
Als een overheids-CA ervoor kiest om een EA te verkrijgen, beperkt Microsoft het bereik van certificaten die de overheids-CA kan uitgeven. Overheids-CA's die serververificatiecertificaten uitgeven, moeten de hoofdmap beperken tot door de overheid beheerde domeinen. Regeringen moeten de uitgifte van andere certificaten beperken tot ISO3166 landcodes waarover het land onafhankelijke controle heeft.
Ca's van de overheid moeten ook de juiste basisvereisten voor cab-forumbasislijnen voor CA's accepteren en aannemen op basis van het type certificaten dat de basisproblemen hebben. De programmavereisten en controlevereisten vervangen deze vereisten echter in elk aspect waarin ze conflicteren.
Alle overheids-CA's die het programma invoeren, zijn onderworpen aan de bovenstaande EA-vereisten. Alle overheids-CA's die vóór 1 juni 2015 deel uitmaken van het programma, zullen onmiddellijk na het verstrijken van hun dan huidige controle onderworpen zijn aan de eerder beschreven EA-vereisten.
B. Inhoud van het equivalente controlerapport
Microsoft vereist alle overheids-CA's die een EA indienen om een attestation-brief van de auditor te verstrekken die:
- Attests dat de audit wordt uitgegeven door een onafhankelijke instantie, die is geautoriseerd door de overheid CA's om de audit uit te voeren.
- Vermeldt de overheidscriteria van de overheid voor de kwalificatie van de auditor en geeft aan dat de auditor aan deze criteria voldoet.
- Geeft een overzicht van de specifieke statuten, regels en/of voorschriften waarop de auditor de overheids-CA-activiteiten heeft beoordeeld.
- Certificeert de naleving van de overheids-CA met de vereisten die worden beschreven in de benoemde statuten, regels en/of voorschriften.
- Biedt informatie die beschrijft hoe de vereisten van het statuut gelijk zijn aan de juiste WebTrust- of ETSI-controles.
- Geeft een lijst van certificeringsinstanties en derden die zijn geautoriseerd door de overheidsinstantie om certificaten namens de overheids-CA in een certificaatketen uit te geven.
- Documenter de volledige PKI-hiërarchie.
- Geeft de begin- en einddatum van de controleperiode.
Definities
Ca voor overheid
Een overheids-CA is een entiteit die de Government Program Agreement ondertekent.
Commerciële CA
Een commerciële CA is een entiteit die de commerciële programmaovereenkomst ondertekent.
Certificeringsinstantie
"Certificeringsinstantie" of "CA" betekent een entiteit die digitale certificaten uitgeeft in overeenstemming met lokale wetten en voorschriften.
Lokale wetten en voorschriften
"Lokale wetten en voorschriften": de wetten en voorschriften die van toepassing zijn op een CA waaronder de CA is gemachtigd om digitale certificaten uit te geven, die het toepasselijke beleid, de regels en standaarden voor het uitgeven, onderhouden of intrekken van certificaten omvatten, waaronder de controlefrequentie en -procedure.