Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página define os requisitos para as Autoridades de Certificação (CAs) que participam do Microsoft Trusted Root Certificate Program ("Programa"), juntamente com os requisitos para usar cada uma das propriedades de uso de chave estendidas (EKUs) que a Microsoft suporta atualmente como parte do Microsoft Trusted Root Certificate Program.
Encontre os requisitos para autoridades de certificação comerciais e autoridades de certificação governamentais, juntamente com informações sobre o que constitui uma autoridade de certificação governamental e como os requisitos estão mudando para autoridades de certificação governamentais na seção de definições.
Gorjeta
Marque esta página como favorito: https://aka.ms/auditreqs
Requisitos Gerais
A Microsoft exige que cada autoridade de certificação envie provas de uma auditoria qualificada anualmente para a autoridade de certificação e qualquer raiz não limitada em sua cadeia de PKI (infraestrutura de chave pública). Uma auditoria qualificada deve atender aos cinco requisitos principais a seguir:
- O auditor deve ser qualificado.
- A auditoria deve ser realizada usando o escopo adequado.
- A auditoria deve ser realizada utilizando o padrão adequado.
- A auditoria deve ser realizada e a carta de certificação deve ser emitida dentro do prazo adequado.
- O auditor deve preencher e apresentar um Atestado de Qualificação.
É responsabilidade da autoridade de certificação fornecer à Microsoft um Atestado de Qualificação para os resultados da auditoria e conformidade com os Requisitos de Auditoria em tempo hábil.
A. Qualificações do Auditor
A Microsoft considera um auditor como um Auditor Qualificado se for um indivíduo ou empresa independente certificado para realizar auditorias de autoridade de certificação por uma destas três autoridades: (1) WebTrust, (2) uma Autoridade Nacional Equivalente ao ETSI (publicada em https://aka.ms/ena) ou, (3) no caso de uma autoridade de certificação governamental, o próprio governo. (Para obter mais informações sobre as autoridades de certificação do governo, consulte Requisitos das Autoridades de Certificação do Governo.)
Se uma autoridade de certificação optar por obter uma auditoria WebTrust, a Microsoft exigirá que a autoridade de certificação mantenha um auditor licenciado WebTrust para executar a auditoria. A lista completa de auditores licenciados pela WebTrust está disponível em https://aka.ms/webtrustauditors. Se uma autoridade de certificação optar por obter uma auditoria baseada no ETSI, a Microsoft exigirá que a autoridade de certificação mantenha uma entidade autorizada por uma autoridade nacional equivalente (ou "ENAs"). Um catálogo de ENAs aceitáveis é baseado na lista em https://aka.ms/ena. Se uma autoridade de certificação for operada em um país que não tenha uma autoridade nacional equivalente ao ETSI, a Microsoft aceita uma auditoria realizada por um auditor qualificado sob uma autoridade nacional equivalente no país de origem do auditor.
B. Âmbito da auditoria
O escopo da auditoria deve incluir todas as raízes principais, subraízes que não têm restrições e raízes não registradas com assinatura cruzada, sob a raiz principal, exceto subraízes restritas a um domínio verificado. A auditoria também deve documentar toda a hierarquia PKI. As declarações finais de auditoria devem estar num local acessível ao público e conter as datas de início e fim do período de auditoria. No caso de uma auditoria WebTrust, os selos WebTrust também devem estar em um local acessível publicamente.
C. Avaliações de Prontidão de um Momento Específico
A Microsoft exige uma auditoria antes de iniciar as operações comerciais. Para autoridades de certificação comerciais que não estão operacionais como emissores de certificados há 90 dias ou mais, a Microsoft aceita uma auditoria de prontidão point-in-time conduzida por um auditor qualificado. Se a autoridade de certificação usar uma auditoria de prontidão pontual, a Microsoft exigirá uma auditoria de acompanhamento dentro de 90 dias após a autoridade de certificação emitir o seu primeiro certificado. Uma autoridade de certificação comercial no nosso programa que solicita a inclusão de uma nova raiz está isenta do requisito de auditoria de momento específico e de período de tempo para a nova raiz. Em vez disso, devem estar atualizados com as auditorias das suas bases existentes no programa.
D. O período de tempo entre a avaliação e o atestado do auditor
A Microsoft exige que a autoridade de certificação obtenha uma auditoria de conformidade anualmente. Para garantir que a Microsoft tenha informações que reflitam com precisão as práticas comerciais atuais da autoridade de certificação, a carta de atestado resultante da auditoria deve ser datada e recebida pela Microsoft no prazo máximo de três meses a partir da data final especificada na carta de atestado.
E. Atestado de auditoria
A Microsoft exige que cada auditor preencha e envie à Microsoft um Atestado de Qualificação. Um Atestado de Qualificação requer que o auditor preencha uma Carta de Atestado de Qualificação.
A Microsoft usa uma ferramenta para analisar automaticamente as cartas de auditoria para validar a precisão da Carta de Atestado de Qualificação. Esta ferramenta encontra-se na Base de Dados da Autoridade Comum de Certificação (CCADB). Trabalhe com seu auditor para garantir que a Carta de Atestado de Qualificação cumpra os seguintes requisitos. Se a carta de auditoria falhar em qualquer uma dessas categorias, um e-mail será enviado de volta à autoridade de certificação solicitando que atualizem sua carta de auditoria.
TODOS OS CAS
- A carta de auditoria deve ser redigida em inglês
- A carta de auditoria deve estar em formato PDF "Texto pesquisável".
- A carta de auditoria deve conter o nome do auditor na carta de auditoria, tal como registado na CCADB.
- A carta de auditoria deve listar a impressão digital SHA1 ou a impressão digital SHA256 das raízes auditadas.
- A carta de auditoria deve indicar a data em que foi redigida.
- A carta de auditoria deve indicar as datas de início e fim do período auditado. Observe que esse período não é o período em que o auditor esteve no local.
- A carta de auditoria deve incluir o nome completo da AC tal como registado na CCADB.
- A carta de auditoria deve listar os padrões de auditoria que foram usados durante a auditoria. Consulte as diretrizes WebTrust/ETSI ou https://aka.ms/auditreqs e liste o nome completo e a versão dos padrões de auditoria referenciados.
Autoridades Certificadoras que enviam auditorias WebTrust
As auditorias conduzidas por auditores certificados da WebTrust devem ter suas cartas de auditoria carregadas no https://cert.webtrust.org.
Autoridades Certificadoras que apresentam auditorias da ETSI
- As auditorias realizadas por auditores certificados do ETSI devem ter as suas cartas de auditoria carregadas no sítio Web do auditor. Se o auditor não publicar em seu site, a autoridade de certificação deve fornecer o nome e o e-mail do auditor ao enviar a carta de auditoria. Um representante da Microsoft entra em contato com o auditor para verificar a autenticidade da carta.
- As Autoridades Certificadoras podem apresentar auditorias com as normas de política EN 319 411-2 ou 411-2.
F. Submissão de auditoria
Para apresentar auditorias anuais, consulte as instruções da CCADB sobre como criar um caso de auditoria encontradas aqui: https://ccadb.org/cas/updates.
Se a autoridade de certificação estiver se aplicando no Root Store e não estiver na CCADB, ela deverá enviar seu atestado de auditoria por e-mail para msroot@microsoft.com.
Padrões convencionais de auditoria de CA
O Programa aceita dois tipos de padrões de auditoria: WebTrust e ETSI. Para cada um dos EKUs à esquerda, a Microsoft exige uma auditoria que esteja em conformidade com o padrão marcado.
Nota
A partir de fevereiro de 2024, os provedores de CA devem garantir que suas CAs raiz habilitadas para S/MIME e todas as CAs subordinadas capazes de emitir certificados S/MIME tenham sido e continuarão a ser auditadas em relação à versão mais recente de, no mínimo, um dos conjuntos de critérios abaixo.
- Princípios e Critérios WebTrust para Autoridades de Certificação – S/MIME
- ETSI TS 119 411-6 LCP, NCP ou NCP+
A. Auditorias WebTrust
A Microsoft agora exigirá os Princípios e Critérios dos Serviços de Confiança WebTrust para Autoridades de Certificação -- Assinatura de Código para quaisquer declarações de auditoria com períodos que comecem em ou após 1º de janeiro de 2018. Isso será necessário para qualquer autoridade de certificação que tenha o EKU de assinatura de código habilitado para suas raízes. Se uma autoridade de certificação tiver o EKU de assinatura de código habilitado em uma raiz, mas não estiver emitindo ativamente certificados de assinatura de código, ela poderá entrar em contato para msroot@microsoft.com ter o status do EKU definido como "NotBefore".
| Critérios | WebTrust para CA v2.1 | Linha de base SSL com Segurança de Rede v2.3 | SSL de Validação Estendida v1.6.2 | Assinatura de código de validação estendida v1.4.1 | Certificados de assinatura de código publicamente confiáveis v1.0.1 | Princípios e Critérios WebTrust para Autoridades de Certificação – S/MIME |
|---|---|---|---|---|---|---|
| Autenticação de servidor (não-EV) | X | X | ||||
| Somente autenticação de servidor (não EV) e autenticação de cliente | X | X | ||||
| Autenticação do servidor (EV) | X | X | X | |||
| Somente autenticação de servidor (EV) e autenticação de cliente | X | X | X | |||
| Assinatura de código EV | X | X | ||||
| Assinatura de código não-EV e carimbo de data/hora | X | X | ||||
| E-mail seguro (S/MIME) | X | X | ||||
| Autenticação de cliente (sem autenticação de servidor) | X | |||||
| Assinatura de documentos | X |
B. Auditorias baseadas no ETSI
Nota 1: Se uma autoridade de certificação usar uma auditoria baseada em ETSI, ela deverá realizar uma auditoria completa anualmente e a Microsoft não aceitará auditorias de vigilância. Nota 2: Todas as declarações de auditoria do ETSI devem ser auditadas de acordo com os requisitos do CA/Browser Forum e a conformidade com esses requisitos deve ser declarada na carta de auditoria. O ACAB'c https://acab-c.com forneceu orientações que atendem aos requisitos da Microsoft.
| Critérios | EN 319 411-1: Políticas DVCP, OVCP ou PTC-BR | EN 319 411-1: Política EVCP | EN 319 411-2: Política QCP-w/QEVCP-w (baseada na EN 319 411-1, EVCP) | EN 319 411-1: Políticas LCP, NCP, NCP+ | EN 319 411-2: Políticas QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd (com base na EN 319 411-1, NCP/NCP+) | Políticas ETSI EN 319 411-1, LCP, NCP ou NCP+, conforme alteradas pela norma ETSI TS 119 411-6 ou pelas normas ETSI EN 319 411-2, QCP-n, QCP-I, QCP-n-qscd ou QCP-I-qscd, conforme alteradas pela norma ETSI TS 411-6 |
|---|---|---|---|---|---|---|
| Autenticação de servidor (não-EV) | X | |||||
| Somente autenticação de servidor (não EV) e autenticação de cliente | X | |||||
| Autenticação do servidor (EV) | X | |||||
| Somente autenticação de servidor (EV) e autenticação de cliente | X | X | ||||
| Assinatura de código EV | X | X | ||||
| Assinatura de código não-EV e carimbagem de data/hora | X | X | ||||
| E-mail seguro (S/MIME) | X | X | X | |||
| Autenticação de cliente (sem autenticação de servidor) | X | X | ||||
| Assinatura de documentos | X | X |
Requisitos da Autoridade de Certificação do Governo
As autoridades de certificação governamentais podem optar por obter a(s) auditoria(s) baseada em WebTrust ou ETSI anteriormente descrita exigida das autoridades de certificação comerciais ou usar uma auditoria equivalente. Se uma autoridade de certificação governamental optar por obter uma auditoria baseada em WebTrust ou ETSI, a Microsoft tratará a autoridade de certificação governamental como uma autoridade de certificação comercial. A autoridade de certificação governamental pode então operar sem limitar os certificados que emite.
A. Restrições de auditoria equivalentes
Se a autoridade de certificação governamental optar por não usar uma auditoria WebTrust ou ETSI, poderá obter uma auditoria equivalente. Em uma auditoria equivalente ("EA"), a autoridade de certificação governamental seleciona um terceiro para realizar uma auditoria. A auditoria tem dois objetivos: (1) demonstrar que a autoridade de certificação governamental está em conformidade com as leis e regulamentos locais relacionados à operação da autoridade de certificação e (2) demonstrar que a auditoria está substancialmente em conformidade com o padrão WebTrust ou ETSI relevante.
Se uma autoridade de certificação governamental optar por obter um EA, a Microsoft limitará o escopo dos certificados que a autoridade de certificação governamental pode emitir. As autoridades de certificação governamentais que emitem certificados de autenticação de servidor devem limitar a raiz a domínios controlados pelo governo. Os governos devem limitar a emissão de quaisquer outros certificados a ISO3166 códigos de país sobre os quais o país tem controlo soberano.
As autoridades de certificação governamentais também devem aceitar e adotar os requisitos básicos apropriados do fórum CAB para CAs com base no tipo de certificados que a autoridade raiz emite. No entanto, os Requisitos do Programa e os Requisitos de Auditoria substituem esses requisitos em qualquer aspeto em que estejam em conflito.
Todas as CAs governamentais que entram no Programa estão sujeitas aos requisitos de EA mencionados acima. Todas as Autoridades Certificadoras Governamentais que fazem parte do Programa antes de 1 de junho de 2015 estarão sujeitas aos requisitos de EA descritos anteriormente imediatamente após a expiração da auditoria vigente na altura.
B. Conteúdo do relatório de auditoria equivalente
A Microsoft exige que todas as autoridades de certificação governamentais que enviam um EA forneçam uma carta de atestado do auditor de que:
- Atesta que a auditoria é realizada por uma agência independente, autorizada por autoridades de certificação do governo para conduzir a auditoria.
- Lista os critérios da autoridade certificadora governamental para qualificação de auditor e certifica que o auditor atende a esses critérios.
- Lista os estatutos, regras e/ou regulamentos específicos contra os quais o auditor avaliou as operações das autoridades competentes.
- Certifica a conformidade da autoridade de certificação governamental com os requisitos descritos nos estatutos, regras e/ou regulamentos mencionados.
- Fornece informações que descrevem como os requisitos do estatuto são equivalentes às auditorias WebTrust ou ETSI apropriadas.
- Lista as Autoridades de Certificação e terceiros autorizados pela autoridade de certificação governamental a emitir certificados em nome da autoridade de certificação governamental dentro de uma cadeia de certificados.
- Documenta a hierarquia PKI completa.
- Fornece as datas de início e término do período de auditoria.
Definições
Autoridade Certificadora do governo
Uma "Autoridade Certificadora (AC) do Governo" é uma entidade que assina o Acordo do Programa de Governo.
AC Comercial
Uma "AC Comercial" é uma entidade que assina o Contrato do Programa Comercial.
Autoridade de Certificação
"Autoridade de Certificação" ou "AC" significa uma entidade que emite certificados digitais de acordo com as Leis e Regulamentos Locais.
Leis e Regulamentos Locais
"Leis e Regulamentos Locais" refere-se às leis e regulamentos aplicáveis a uma AC ao abrigo dos quais a AC está autorizada a emitir certificados digitais, que estabelecem as políticas, regras e normas aplicáveis para a emissão, manutenção ou revogação de certificados, incluindo a frequência e o procedimento de auditoria.