Program Gereksinimleri - Microsoft Güvenilen Kök Programı

1. Giriş

Microsoft Kök Sertifika Programı, kök sertifikaların dağıtılmasını destekleyerek müşterilerin Windows ürünlerine güvenmesini sağlar. Bu sayfada Programın genel ve teknik gereksinimleri açıklanmaktadır.

Not

• Gönderilen en son güncelleştirmeler hakkında bilgi için lütfen bkz. https://aka.ms/rootupdates
• Bu sayfaya şu şekilde yer işareti ekleyin: https://aka.ms/RootCert

2. Sürekli Program Gereksinimleri

Denetim Gereksinimleri

1. Program Katılımcıları, ticari işlemleri gerçekleştirmeden önce ve bundan sonra yıllık olarak her kök, kısıtlanmamış alt CA, ve çapraz imzalı sertifika için Uygun Denetim (bkz https://aka.ms/auditreqs. ) kanıtını Microsoft'a sağlamalıdır.
2. Program Katılımcıları, tüm kısıtlanmamış alt CA'ların ve çapraz imzalı sertifikaların Program Denetim Gereksinimlerini karşıladığından emin olmak için sorumluluk üstlenmelidir.
3. CA'lar, kısıtlanmamış alt CA'lar için tüm denetim raporlarını genel olarak açıklamalıdır.
4. CA sağlayıcıları, S/MIME özellikli kök CA'larının ve S/MIME sertifikalarını verebilen tüm alt CA'ların, en azından aşağıdaki ölçüt kümelerinden birinin en son sürümüne göre denetlendiğinden ve denetlenmeye devam edeceğinden emin olmalıdır. Bu denetim yılda en az bir kez yapılmalıdır. İlk denetim dönemi 1 Eylül 2023'ten sonra başlamalıdır.
   
   • Sertifika Yetkilileri için WebTrust İlkeleri ve Ölçütleri – S/MIME
     
   • ETSI EN 119 411-6 LCP, NCP veya NCP+
     

İletişim ve Açıklama Gereksinimleri

4. Program Katılımcıları, Program'a temsilci olarak hizmet vermek için en az iki "Güvenilen Aracının" kimliklerini ve bir genel e-posta diğer adını Microsoft'a sağlamalıdır. Program Katılımcılarının, personelin Güvenilir Aracı olarak kaldırılması veya eklenmesi konusunda Microsoft'a bilgi vermesi gerekir. Program Katılımcıları bildirimleri e-postayla almayı kabul eder ve resmi bildirimleri almak için Microsoft'a bir e-posta adresi sağlamalıdır. Program Katılımcıları, Microsoft bir e-posta veya resmi mektup gönderdiğinde bildirimin geçerli olduğunu kabul etmelidir. Sağlanan kişi veya diğer adlardan en az biri, iptal istekleri veya diğer olay yönetimi durumları için 7/24 izlenen bir iletişim kanalı olmalıdır.

5. Program Katılımcısı, CCADB içindeki dış üçüncü taraflar tarafından çalıştırılan CA'lara verilen sertifikalar dahil olmak üzere tam PKI hiyerarşisini (aralıksız alt CA, çapraz imzalı olmayan kök CA'lar, alt CA'lar, EKU'lar, sertifika kısıtlamaları) Microsoft'a yıllık olarak açıklamalıdır. Program Katılımcıları, değişiklikler olduğunda bu bilgileri CCADB'de doğru tutmalıdır. Bir alt CA genel olarak açıklanmazsa veya denetlenmezse etki alanı kısıtlanmış olmalıdır.

6. Program Katılımcıları, kayıtlı bir kök veya alt CA'nın sahipliğini başka bir varlığa veya kişiye zincirlemeden en az 120 gün önce e-posta yoluyla Microsoft'u bilgilendirmelidir.

7. Neden Kodu ara sertifikalar için iptallere dahil edilmelidir. CA'lar 30 gün içinde ara sertifikaları iptal ederken CCADB'yi güncelleştirmelidir.

8. Program Katılımcıları, Microsoft'un bir kök CA'nın Programdan kaldırılmasının bekleyen durumundan önemli ölçüde etkilendiğini düşündüğü müşterilerle iletişim kurabileceğini kabul eder.

Diğer Gereksinimler

9. Ticari CA'lar, bir kuruluş içinde (kurumsal CA'lar gibi) öncelikli olarak güvenilmesi amaçlanan bir kök CA'yi Programa kaydedemeyebilir.

10. CA, işinin herhangi bir yönünü çalıştırmak için bir alt yüklenici kullanırsa, alt yüklenicinin iş operasyonlarının sorumluluğunu CA üstlenir.

11. Microsoft kendi takdirine bağlı olarak, kullanımı veya öznitelikleri Güvenilen Kök Programın hedeflerine aykırı olduğu belirlenen bir sertifika tanımlarsa, Microsoft sorumlu CA'ya bildirimde bulunur ve sertifikayı iptal etme isteğinde bulunur. CA'nın sertifikayı iptal etmesi veya Microsoft'un bildirimini aldıktan sonraki 24 saat içinde Microsoft'tan bir özel durum istemesi gerekir. Microsoft, gönderilen malzemeleri gözden geçirecek ve CA'ya özel durumu kendi takdirine bağlı olarak verme veya reddetmeye yönelik son kararını bildirecektir. Microsoft'un özel durum vermemesi durumunda CA,özel durumun reddedildiği 24 saat içinde sertifikayı iptal etmelidir.

---

3. Program Teknik Gereksinimleri

Programdaki tüm CA'lar Program Teknik Gereksinimlerine uymalıdır. Microsoft bir CA'nın aşağıdaki gereksinimlere uygun olmadığını belirlerse, Microsoft bu CA'yı Program'ın dışında tutar.

A. Kök Gereksinimler

1. Kök sertifikalar x.509 v3 sertifikaları olmalıdır.
   1. CN özniteliği yayımcıyı tanımlamalı ve benzersiz olmalıdır.
   2. CN özniteliği, CA'nın pazarına uygun ve bu pazardaki tipik bir müşteri tarafından okunabilir bir dilde olmalıdır.
   3. Temel Kısıtlamalar uzantısı: cA=true olmalıdır.
   4. Anahtar Kullanımı uzantısı mevcut olmalı ve Kritik olarak işaretlenmeLI. KeyCertSign ve cRLSign için bit konumları ayarlanmalıdır. OCSP yanıtlarını imzalamak için Kök CA Özel Anahtarı kullanılıyorsa digitalSignature biti ayarlanmalıdır.
      • Kök Anahtar Boyutları, aşağıdaki "İmza Gereksinimleri" bölümünde ayrıntılı olarak belirtilen gereksinimleri karşılamalıdır.
2. Güvenilen Kök Depolama'ya eklenecek sertifikalar otomatik olarak imzalanan kök sertifikalar olmalıdır.
3. Yeni basılan Kök CA'lar, gönderim tarihinden itibaren en az sekiz yıl ve en fazla 25 yıl geçerli olmalıdır.
4. Katılan Kök CA'lar, bu gereksinimler kapsamındaki köklerden yeni 1024 bit RSA sertifikaları vermeyebilir.
5. Tüm veren CA sertifikaları geçerli bir CRL'ye sahip bir CDP uzantısı ve/veya OCSP yanıtlayıcısına AIA uzantısı içermelidir. Son varlık sertifikası geçerli bir OCSP URL'sine sahip bir AIA uzantısı ve/veya CRL içeren geçerli bir HTTP uç noktasına işaret eden bir CDP uzantısı içerebilir. Geçerli bir OCSP URL'sine sahip bir AIA uzantısı ekLENMEDİyse, sonuçta elde edilen CRL Dosyası 10 MB olmalıdır <.
6. Özel Anahtarlar ve konu adları kök sertifika başına benzersiz olmalıdır; aynı CA tarafından sonraki kök sertifikalarda özel anahtarların veya konu adlarının yeniden kullanılması beklenmeyen sertifika zincirleme sorunlarına neden olabilir. CA'ların, Microsoft tarafından dağıtılmasından önce yeni bir kök sertifika oluştururken yeni bir anahtar oluşturması ve yeni bir konu adı uygulaması gerekir.
7. Kamu CA'ları, sunucu kimlik doğrulamasını kamu tarafından verilen en üst düzey etki alanlarıyla kısıtlamalıdır ve yalnızca ülkenin üzerinde hakim denetimine sahip olduğu ISO3166 ülke kodlarına başka sertifikalar verebilir ("Kamu CA'sı" tanımı için bölüm III'e bakın https://aka.ms/auditreqs ). Devlet tarafından verilen bu TD'ler, her CA'nın ilgili sözleşmesinde başvurulur.
8. Katılan kök CA'ya zincirleyen CA sertifikaları veren Sunucu Kimlik Doğrulaması, S/MIME, Kod İmzalama ve Zaman Damgalama kullanımlarını ayırmalıdır. Bu, tek bir Veren CA'nın sunucu kimlik doğrulamasını S/MIME, kod imzalama veya zaman damgası EKU ile birleştirmemesi gerektiği anlamına gelir. Her kullanım örneği için ayrı bir ara nokta kullanılmalıdır.
9. Son varlık sertifikaları, konumunda https://cabforum.org/baseline-requirements-documents/bulunan CAB Forumu Temel Gereksinimleri'nin Ek A'sında listelenen Abone sertifikaları için algoritma türü ve anahtar boyutu gereksinimlerini karşılamalıdır.
10. CA'ların Sertifika İlkesi uzantısı son varlık sertifikasında aşağıdaki ilke OID'lerinden birini bildirmesi gerekir.
    1. DV 2.23.140.1.2.1.
    2. OV 2.23.140.1.2.2.
    3. EV 2.23.140.1.1.
    4. IV 2.23.140.1.2.3.
    5. EV Dışı Kod İmzalama 2.23.140.1.4.1.
    6. S/MIME Posta Kutusu Doğrulanmış Eski 2.23.140.1.5.1.1.
    7. S/MIME Posta Kutusu Doğrulanmış Çok Amaçlı 2.23.140.1.5.1.2.
    8. S/MIME Posta Kutusu Kesin 2.23.140.1.5.1.3 doğrulandı.
    9. S/MIME Kuruluşu Eski 2.23.140.1.5.2.1 doğrulandı.
    10. S/MIME Kuruluşu Tarafından Doğrulanmış Çok Amaçlı 2.23.140.1.5.2.2.
    11. S/MIME Kuruluşu Kesin 2.23.140.1.5.2.3 doğrulandı.
    12. S/MIME Sponsoru Tarafından Doğrulanan Eski 2.23.140.1.5.3.1.
    13. S/MIME Sponsoru Doğrulanmış Çok Amaçlı 2.23.140.1.5.3.2.
    14. S/MIME Sponsoru Kesin 2.23.140.1.5.3.3 doğrulandı.
    15. S/MIME Bireysel Doğrulanmış Eski 2.23.140.1.5.4.1.
    16. S/MIME Bireysel Doğrulanmış Çok Amaçlı 2.23.140.1.5.4.2.
    17. S/MIME Bireysel Doğrulanmış Katı 2.23.140.1.5.4.3.
11. Ağustos 2024'den itibaren, Güvenilen Kök Program tarafından yönetilen tüm özel EV SSL OID'leri ve ilgili araçlarımız kaldırılacak ve CA/B Forum uyumlu EV SSL OID (2.23.140.1.1) ile değiştirilecektir. Microsoft Edge ekibi tarayıcıda EV SSL OID (2.23.140.1.1) için denetimler uygulayacak, bu nedenle diğer EV SSL OID'lerinin Edge ile uyumlu olması ve uyumsuzlukların önlenmesi için artık kabul edilmeyecektir.
12. CA'ların kök sertifikalarına 2'den fazla OID uygulanmamış olabilir.
13. IETF RFC 5280'e uygun temel kısıtlamalar uzantısı içeren son varlık sertifikalarında cA alanı YANLIŞ olarak ayarlanmalıdır ve pathLenConstraint alanı bulunmamalıdır.
14. CA, OCSP yanıtlayıcısını teknik olarak kısıtlamalıdır; böylece izin verilen tek EKU, OCSP İmzalama'dır.
15. CA' nın, Microsoft tarafından istenen belirli bir tarihe kadar sertifikayı iptal edebilmesi gerekir.

B. İmza Gereksinimleri

Algoritma	Kod İmzalama ve Zaman Damgası Hariç Tüm Kullanımlar	Kod İmzalama ve Zaman Damgalama Kullanımı
Özet Algoritmaları	SHA2 (SHA256, SHA384, SHA512)	SHA2 (SHA256, SHA384, SHA512)
RSA	2048	4096 (Yalnızca yeni kökler)
ECC / ECDSA	NIST P-256, P-384, P-521	Desteklenmiyor

Lütfen Unutmayın:

• ECDSA gibi eliptik eğri şifrelemesi (ECC) kullanan imzalar Windows ve daha yeni Windows güvenlik özelliklerinde desteklenmez. Bu algoritmaları ve sertifikaları kullanan kullanıcılar çeşitli hatalarla ve olası güvenlik riskleriyle karşılaşacaktır. Microsoft Güvenilen Kök Programı, bu bilinen uyumsuzluk ve risk nedeniyle abonelere ECC/ECDSA sertifikalarının verilmemesi gerektiğini önerir.
• Kod İmzalama ECC veya anahtarları > desteklemiyor 4096

C. İptal Gereksinimleri

1. CA'ların belgelenmiş bir iptal ilkesi olmalıdır ve bu ilkenin içerdiği tüm sertifikaları iptal etme özelliğine sahip olmalıdır.

2. OCSP yanıtlayıcı gereksinimleri: a. En az sekiz (8) saat geçerlilik; En fazla yedi (7) gün geçerlilik; ve b. Bir sonraki güncelleştirme, geçerli süre dolmadan en az sekiz (8) saat önce kullanılabilir olmalıdır. Geçerlilik süresi 16 saatten uzunsa, bir sonraki güncelleştirmenin geçerlilik süresi 1/2'de kullanılabilir olması gerekir.

3. OCSP mevcut olmadığında CRL önerileri: a. Microsoft'a özgü 1.3.6.1.4.1.311.21.4 (Sonraki CRL Yayımlama) uzantısını içermelidir. b. Yeni CRL, Sonraki CRL Yayımlama zamanında kullanılabilir olmalıdır. c. CRL dosyasının en büyük boyutu (tam CRL veya bölümlenmiş CRL) 10 milyonu aşmamalıdır.

   Not

   Bölüm 3.C.3- OCSP mevcut olmadığında CRL Önerileri'nin amacı, toplu iptal durumlarında son kullanıcılara kapsam sağlamaktır.

4. CA, son varlık sertifikaları vermek için kök sertifikayı kullanmamalıdır.

5. Ca Kod İmzalama sertifikaları verirse, RFC 3161 "Internet X.509 Ortak Anahtar Altyapısı Zaman Damgası Protokolü (TSP) ile uyumlu bir Zaman Damgası Yetkilisi kullanmalıdır."

D. Kod İmzalama Kök Sertifika Gereksinimleri

1. Kod imzalama kullanımını destekleyen kök sertifikalar, program tarafından değiştirme rollover kök sertifikasının dağıtılmasından itibaren 10 yıl veya CA tarafından istenirse daha erken dağıtımdan kaldırılabilir.
2. Yalnızca kod imzalama kullanımını desteklemek için dağıtımda kalan kök sertifikalar, algoritma güvenlik ömrünün ötesinde (örneğin RSA 1024 = 2014, RSA 2048 = 2030) Windows 10 işletim sisteminde 'devre dışı' olarak ayarlanabilir.
3. Şubat 2024'den itibaren Microsoft artık EV Kod İmzalama Sertifikalarını kabul etmeyecektir veya tanımayacaktır ve CCADB EV Kod İmzalama Denetimlerini kabul etmemeye başlayacaktır. Ağustos 2024'ten itibaren, tüm EV Kod İmzalama OID'leri Microsoft Güvenilen Kök Programı'ndaki mevcut köklerden kaldırılacak ve tüm Kod İmzalama sertifikaları eşit olarak ele alınacaktır.

E. EKU Gereksinimleri

1. CA'lar, kök sertifikalarına atanan tüm EKU'lar için bir iş gerekçesi sağlamalıdır. Gerekçe, geçerli bir işletmenin bir tür veya türde sertifika verme işleminin genel kanıtı veya bu sertifikaları yakın dönemde (Program tarafından kök sertifika dağıtımından sonra bir yıl içinde) verme amacını gösteren bir iş planı biçiminde olabilir.

2. Microsoft yalnızca aşağıdaki EKU'ları etkinleştirir:

   1. Sunucu Kimlik Doğrulaması =1.3.6.1.5.5.7.3.1
   2. İstemci Kimlik Doğrulaması =1.3.6.1.5.5.7.3.2
   3. Güvenli E-posta EKU=1.3.6.1.5.5.7.3.4
   4. Zaman damgası EKU=1.3.6.1.5.5.7.3.8
   5. Belge İmzalama EKU=1.3.6.1.4.1.311.10.3.12
   • Bu EKU, Office'in içinde belgeleri imzalamak için kullanılır. Diğer belge imzalama kullanımları için gerekli değildir.

F. Windows 10 Çekirdek Modu Kod İmzalama (KMCS) Gereksinimleri

Windows 10'un çekirdek modu sürücülerini doğrulamak için gereksinimleri daha yüksektir. Sürücülerin hem Microsoft hem de Bir Program iş ortağı tarafından Genişletilmiş Doğrulama gereksinimleri kullanılarak imzalanması gerekir. Çekirdek modu sürücülerinin Windows'a dahil olmasını isteyen tüm geliştiricilerin Microsoft Donanım Geliştirme Ekibi tarafından açıklanan yordamları izlemesi gerekir. Daha fazla bilgi için bkz . Windows Donanımı için İş Ortağı Merkezi.