Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página estabelece os requisitos para as Autoridades Certificadoras (ACs) que participam do Programa de Certificado de Raiz Confiável da Microsoft ("Programa"), juntamente com os requisitos para usar cada uma das propriedades de uso estendido de chave (EKUs) que a Microsoft atualmente suporta como parte do Programa de Certificado de Raiz Confiável da Microsoft.
Encontre os requisitos para ACs Comerciais e ACs Governamentais junto com informações sobre o que constitui uma AC Governamental e como os requisitos estão sendo alterados para ACs Governamentais na seção de definições.
Dica
Adicione esta página aos favoritos: https://aka.ms/auditreqs
Requisitos gerais
A Microsoft exige que todas as Autoridades Certificadoras (ACs) apresentem evidências de uma Auditoria de Qualificação obrigatória anualmente, para a AC e qualquer raiz não limitada na respectiva cadeia de Infraestrutura de Chave Pública (PKI). Uma Auditoria Qualificada deverá atender aos cinco principais requisitos abaixo:
- O auditor deve ser qualificado.
- A auditoria deve ser realizada com o escopo adequado.
- A auditoria deve ser realizada usando o padrão adequado.
- A auditoria deve ser realizada e a carta de atestado deve ser emitida dentro do período adequado.
- O auditor deve concluir e enviar um Atestado de Qualificação.
É responsabilidade da AC fornecer à Microsoft um Atestado de Qualificação para os resultados da auditoria e a conformidade com os Requisitos de Auditoria em tempo hábil.
R. As qualificações do auditor
A Microsoft considera que um auditor é um Auditor Qualificado se for um indivíduo ou empresa independente certificado para realizar auditorias de autoridade de certificação por uma destas três autoridades: (1) WebTrust, (2) uma Autoridade Nacional Equivalente do ETSI (publicada em https://aka.ms/ena) ou, (3) no caso de uma AC Governamental, o próprio governo. (Para mais informações sobre ACs Governamentais, consulte Requisitos da AC Governamental.)
Caso uma AC escolha realizar uma auditoria WebTrust, a Microsoft exigirá que ela contrate um auditor licenciado por WebTrust para realizar a auditoria. A lista completa de auditores licenciados por WebTrust está disponível em https://aka.ms/webtrustauditors. Caso uma AC escolha realizar uma auditoria baseada em ETSI, a Microsoft exigirá que ela contrate uma entidade autorizada por uma Autoridade Nacional Equivalente (ENAs). Um catálogo de ENAs aceitáveis é baseado na lista em https://aka.ms/ena. Se uma AC for operada em um país/região que não possui uma Autoridade Nacional Equivalente do ETSI, a Microsoft aceitará uma auditoria realizada por um auditor qualificado sob uma Autoridade Nacional Equivalente no país/região de origem do auditor.
B. Escopo da auditoria
O escopo da auditoria deve incluir todas as raízes, sub-raízes não limitadas e raízes não inscritas assinadas cruzadamente, sob a raiz, exceto aquelas sub-raízes que são restritas a um domínio verificado. Uma auditoria também deverá documentar a hierarquia completa de PKI. As declarações finais de auditoria devem estar em um local acessível ao público e devem conter as datas de início e término do período de auditoria. No caso de uma auditoria do WebTrust, os selos do WebTrust também devem estar em um local acessível ao público.
C. Avaliações de preparação pontual
A Microsoft exige realizar uma auditoria antes de iniciar operações comerciais. No caso de ACs comerciais que não operam como emissoras de certificados há 90 dias ou mais, a Microsoft aceita uma auditoria de prontidão pontual realizada por um Auditor Qualificado. Caso uma AC use uma auditoria de prontidão pontual, a Microsoft exigirá uma auditoria de acompanhamento no prazo de 90 dias após a AC emitir seu primeiro certificado. Uma AC comercial já participante do nosso programa e solicitando a inclusão de uma nova raiz está isenta dos requisitos de auditoria pontual e periódica para as novas raízes. Como alternativa, as auditorias das respectivas raízes existentes no programa deverão estar atualizadas.
D. O período entre uma Avaliação e o Atestado do Auditor
A Microsoft exige que uma AC realize auditorias compatíveis todos os anos. Para garantir que a Microsoft tenha informações que reflitam com precisão as práticas comerciais atuais da AC, a carta de atestado resultante da auditoria deve ser datada e recebida pela Microsoft no máximo três meses após a data final especificada na carta de atestado.
E. Atestado de auditoria
A Microsoft exige que cada auditor preencha um Atestado de Qualificação e o envie à Microsoft. Um Atestado de Qualificação exige que o auditor preencha uma Carta de Atestado de Qualificação.
A Microsoft usa uma ferramenta a fim de analisar de modo automático as cartas de auditoria para verificar a precisão da Carta de Atestado de Qualificação. Essa ferramenta pode ser encontrada no CCADB (Banco de Dados da Autoridade de Certificação). Trabalhe com seu auditor para garantir que a Carta de Atestado de Qualificação atenda aos seguintes requisitos. Se a carta de auditoria falhar em qualquer uma dessas categorias, uma correspondência será enviada de volta para a AC solicitando a atualização da carta de auditoria.
Todas as ACs
- A carta de auditoria deverá ser redigida em inglês
- A carta de auditoria deverá estar no formato de documento PDF pesquisável por texto.
- A carta de auditoria deverá conter o nome do auditor, conforme registrado no CCADB.
- A carta de auditoria deverá indicar a impressão digital SHA1 ou a impressão digital SHA256 das raízes auditadas.
- A carta de auditoria deverá indicar a data em que ela foi escrita.
- A carta de auditoria deverá indicar as datas de início e término do período auditado. Observe que esse período não é o período em que o auditor esteve no local.
- A carta de auditoria deverá incluir o nome completo da AC, conforme registrado no CCADB.
- A carta de auditoria deverá listar os padrões de auditoria que foram usados durante a auditoria. Faça referência às diretrizes WebTrust/ETSI ou https://aka.ms/auditreqs e liste o nome completo e a versão dos padrões de auditoria referenciados.
Submissão de auditorias Webtrust pelas ACs
As auditorias conduzidas por auditores com certificação WebTrust devem ter suas cartas de auditoria carregadas em https://cert.webtrust.org.
As ACs submetem auditorias ETSI
- As auditorias conduzidas por auditores com certificação ETSI deverão carregar as respectivas cartas de auditoria no site do auditor. Se o auditor não publicar em seu site, a AC deverá fornecer o nome e o email do auditor ao enviar a carta de auditoria. Um representante da Microsoft entra em contato com o auditor para verificar a autenticidade da carta.
- As ACs poderão enviar auditorias com a política EN 319 411-2 ou 411-2.
F. Envio de Auditoria
Para enviar auditorias anuais, consulte as instruções do CCADB sobre como criar um caso de auditoria encontradas aqui: https://ccadb.org/cas/updates.
Se a AC estiver se candidatando ao Repositório Raiz e não estiver no CCADB, ela deve enviar seu atestado de auditoria por email para msroot@microsoft.com.
Padrões convencionais de auditoria da Autoridade Certificadora
O Programa aceita dois padrões de auditoria: WebTrust e ETSI. Para cada EKU do lado esquerdo, a Microsoft exige realizar uma auditoria compatível com o padrão marcado.
Observação
A partir de fevereiro de 2024, os provedores de AC devem garantir que suas ACs raiz habilitadas para S/MIME e todas as ACs subordinadas capazes de emitir certificados S/MIME tenham sido e continuem a ser auditadas de acordo com a versão mais recente de, no mínimo, um dos conjuntos de critérios abaixo.
- Princípios e critérios do WebTrust para autoridades de certificação – S/MIME
- ETSI TS 119 411-6 LCP, NCP ou NCP+
R. Auditorias WebTrust
A partir de 1º de janeiro de 2018, a Microsoft passará a exigir que os Princípios e Critérios de Serviços de Confiança WebTrust para Autoridades de Certificação – Assinatura de Código sejam utilizados em qualquer declaração de auditoria com períodos iniciando nesta data ou posteriormente. Isso será necessário para qualquer AC que tenha o EKU de assinatura de código habilitado para suas raízes. Se uma AC tiver o EKU de assinatura de código habilitado em uma raiz, mas não estiver emitindo ativamente certificados de assinatura de código, ela pode entrar em contato com msroot@microsoft.com para definir o status do EKU como "NotBefore."
| Critérios | WebTrust para AC v2.1 | Linha de base SSL com segurança de rede v2.3 | Validação SSL estendida v1.6.2 | Assinatura de código de validação estendida v1.4.1 | Certificados de assinatura de código publicamente confiável v1.0.1 | Princípios e critérios do WebTrust para autoridades de certificação – S/MIME |
|---|---|---|---|---|---|---|
| Autenticação de servidor (não EV) | X | X | ||||
| Somente autenticação de servidor (não EV) e autenticação de cliente | X | X | ||||
| Autenticação de servidor (EV) | X | X | X | |||
| Somente autenticação de servidor (EV) e autenticação de cliente | X | X | X | |||
| Assinatura de código EV | X | X | ||||
| Assinatura de código não EV e autenticação de data/hora | X | X | ||||
| Emails protegidos (S/MIME) | X | X | ||||
| Autenticação de cliente (sem autenticação de servidor) | X | |||||
| Assinatura de documentos | X |
B. Auditorias baseadas em ETSI
Observação 1: Se uma AC usar uma auditoria baseada em ETSI, ela deverá realizar uma auditoria completa anualmente, e a Microsoft não aceitará auditorias de vigilância. Observação 2: Todas as instruções de auditoria ETSI devem ser auditadas de acordo com os requisitos do Fórum CA/Browser. A conformidade com esses requisitos deve ser declarada na carta de auditoria. O ACAB'c https://acab-c.com forneceu diretrizes que atendem aos requisitos da Microsoft.
| Critérios | EN 319 411-1: políticas DVCP, OVCP ou PTC-BR | EN 319 411-1: política EVCP | EN 319 411-2: Política QCP-w/QEVCP-w (com base na EN 319 411-1, EVCP) | EN 319 411-1: políticas LCP, NCP e NCP+ | EN 319 411-2: políticas QCP-n, QCP-n-qscd, QCP-l e QCP-l-qscd (baseadas em EN 319 411-1 e NCP/NCP+) | Políticas ETSI EN 319 411-1, LCP, NCP ou NCP+ conforme alteradas pela ETSI TS 119 411-6 ou ETSI EN 319 411-2, QCP-n, QCP-I, QCP-n-qscd ou QCP-I-qscd conforme alteradas pela ETSI TS 411-6 |
|---|---|---|---|---|---|---|
| Autenticação de servidor (não EV) | X | |||||
| Somente autenticação de servidor (não EV) e autenticação de cliente | X | |||||
| Autenticação de servidor (EV) | X | |||||
| Somente autenticação de servidor (EV) e autenticação de cliente | X | X | ||||
| Assinatura de código EV | X | X | ||||
| Assinatura de código não EV e carimbo de data | X | X | ||||
| Emails protegidos (S/MIME) | X | X | X | |||
| Autenticação de cliente (sem autenticação de servidor) | X | X | ||||
| Assinatura de documentos | X | X |
Requisitos de AC Governamental
As ACs governamentais podem optar por obter a(s) auditoria(s) baseada(s) no WebTrust ou no ETSI descrita(s) anteriormente, exigida(s) das ACs comerciais, ou usar uma auditoria equivalente. Caso uma AC Governamental escolha realizar uma auditoria baseada em WebTrust ou ETSI, a Microsoft lidará essa AC Governamental como uma AC Comercial. Uma AC Governamental poderá operar sem limitar os certificados que ela emite.
R. Restrições de auditoria equivalente
Caso uma AC Governamental opte por não usar uma auditoria WebTrust ou ETSI, ela poderá realizar uma Auditoria Equivalente. Em uma Auditoria Equivalente ("EA"), a AC governamental seleciona um terceiro para realizar uma auditoria. Uma auditoria tem duas finalidades: (1) demonstrar que uma AC Governamental está em conformidade com leis e regulamentos locais relacionados à operação da autoridade de certificação e (2) demonstrar que a auditoria está em conformidade de modo considerável com o padrão WebTrust ou ETSI relevante.
Se uma AC governamental optar por obter uma EA, a Microsoft limitará o escopo dos certificados que a AC governamental poderá emitir. As ACs Governamentais que emitem certificados de autenticação de servidor deverão limitar a raiz a domínios controlados pelo governo. Os governos deverão limitar a emissão de outros certificados para códigos de país ISO3166 em que o país tem controle soberano.
As ACs Governamentais também deverão aceitar e adotar os requisitos de linha de base apropriados do Fórum CAB para ACs, com base no tipo de certificados emitidos pela raiz. No entanto, os Requisitos do Programa e os Requisitos de Auditoria substituem esses requisitos em todos os aspectos em que eles estejam em conflito.
Todas as ACs Governamentais que aderirem ao Programa estão sujeitas aos requisitos de EA acima. Todas as ACs Governamentais que fizeram parte do Programa antes de 1º de junho de 2015 estarão sujeitas aos requisitos de EA descritos anteriormente imediatamente após a expiração de sua auditoria vigente.
B. Conteúdo do relatório de Auditoria Equivalente
A Microsoft exige que todas as ACs Governamentais que submetem uma EA forneçam uma carta de atestação do auditor que:
- Atesta que a auditoria é emitida por uma agência independente autorizada pelas Autoridades de Certificação Governamentais a conduzir a auditoria.
- Relaciona os critérios da Autoridade Certificadora governamental para qualificação do auditor e certifica que o auditor atende a esses critérios.
- Relaciona os estatutos, as regras e/ou os regulamentos específicos com base nos quais o auditor avaliou as operações de ACs governamentais.
- Certifica a conformidade da Autoridade Certificadora governamental com os requisitos descritos nos estatutos, regras e/ou regulamentos nomeados que a regem.
- Fornece informações que descrevem como os requisitos do estatuto são equivalentes às auditorias WebTrust ou ETSI apropriadas.
- Lista as Autoridades de Certificação e terceiros autorizados pela AC governamental a emitir certificados em nome da AC governamental em uma cadeia de certificados.
- Documenta a hierarquia de PKI completa.
- fornece as datas de início e término do período de auditoria.
Definições
AC Governamental
Uma "AC Governamental" é uma entidade que firma o Acordo de Programa Governamental.
AC Comercial
Uma "AC Comercial" é uma entidade que assina o Contrato do Programa Comercial.
Autoridade de certificação
“Autoridade de Certificação” ou “AC” representa uma entidade que emite certificados digitais de acordo com Leis e Regulamentos Locais.
Leis e regulamentos locais
“Leis e regulamentos locais” representa leis e regulamentos aplicáveis a uma AC que está autorizada a emitir certificados digitais que estabelecem políticas, regras e padrões aplicáveis para a emissão, a manutenção ou a revogação de certificados, incluindo frequência e procedimento de auditoria.