此頁面會說明參與Microsoft信任跟證書計劃(「計劃」)的證書頒發機構單位(CA)的需求,以及使用Microsoft目前支持作為Microsoft受信任跟證書計劃一部分的每個擴充密鑰使用屬性 (EKU) 的需求。
尋找商業 CA 和政府 CA 的需求,以及構成政府 CA 的內容,以及定義一節中政府 CA 的需求變更方式。
提示
將此頁面加入書籤: https://aka.ms/auditreqs
一般需求
Microsoft要求每個 CA 每年提交合格稽核的證據,以及其公鑰基礎結構 (PKI) 鏈結內的任何非限定根目錄。 合格稽核必須符合下列五個主要需求:
- 稽核員必須符合資格。
- 稽核必須使用適當的範圍來執行。
- 稽核必須使用適當的標準來執行。
- 必須執行稽核,而且證明信件必須在適當的期間內發出。
- 稽核員必須完成並提交合格證明。
CA 有責任為稽核結果提供合格證明Microsoft,並及時符合稽核需求。
A. 稽核員的資格
Microsoft認為,如果稽核員是獨立個人或公司,經這三個授權單位之一認證來執行證書頒發機構單位稽核:(1)WebTrust、(2)ETSI 對等國家授權單位(在)或(3)在政府 CA、政府本身的情況下發佈 https://aka.ms/ena。 (如需政府 CA 的詳細資訊,請參閱 政府 CA 需求。)
如果 CA 選擇取得 WebTrust 稽核,Microsoft要求 CA 保留 WebTrust 授權稽核員來執行稽核。 WebTrust 授權稽核員的完整清單可在 取得 https://aka.ms/webtrustauditors。 如果 CA 選擇取得 ETSI 型稽核,Microsoft 要求 CA 保留對等國家授權單位(或「ENA」的授權實體。 可接受的 ENA 目錄是以 列表 https://aka.ms/ena為基礎。 如果 CA 在沒有 ETSI 對等國家授權單位的國家/地區運作,Microsoft接受稽核員所執行的稽核,該稽核是由稽核員在稽核員家鄉的對等國家授權單位所限定。
B. 稽核的範圍
稽核的範圍必須包含根目錄下的所有根、非限定子根和跨簽署的非註冊根目錄,但僅限於已驗證網域的子根目錄除外。 稽核也必須記錄完整的 PKI 階層。 最終的稽核語句必須位於可公開存取的位置,而且必須包含稽核周期的開始和結束日期。 在 WebTrust 稽核的情況下,WebTrust 密封也必須位於可公開存取的位置。
C. 時間點整備評估
Microsoft在開始商業作業之前需要稽核。 對於尚未作為憑證簽發者運作 90 天以上的商業 CA,Microsoft接受合格稽核所進行的時間點整備稽核。 如果 CA 使用時間點整備稽核,Microsoft CA 發出第一個憑證后 90 天內需要後續稽核。 在我們的計劃中已申請要包含新根目錄的商業 CA,可免除新根目錄的時間點和期間稽核需求。 相反地,他們應該在計劃中針對其現有根目錄的稽核提供最新狀態。
D. 評定與稽核員證明之間的時間週期
Microsoft要求 CA 每年取得一個符合規範的稽核。 為了確保Microsoft有能準確反映 CA 目前業務作法的資訊,稽核所產生的證明信件必須日期,並由Microsoft不超過證明信中所指定日期的三個月收到。
E. 稽核證明
Microsoft要求每個稽核員完成並提交至合格證明Microsoft。 合格證明要求稽核員完成合格證明信件。
Microsoft使用工具來自動剖析稽核信件,以驗證合格證明信件的正確性。 此工具位於通用證書頒發機構單位資料庫 (CCADB) 中。 請與您的稽核員合作,確定合格證明信符合下列需求。 如果這些類別中的稽核信件失敗,則會將郵件寄回 CA,要求他們更新其稽核信件。
ALL CAS
- 稽核信件必須以英文撰寫
- 稽核信件必須是「文字可搜尋」PDF 格式。
- 稽核信件在稽核信件中必須具有稽核員的名稱,如 CCADB 中所記錄。
- 稽核信件必須列出已稽核根目錄的 SHA1 指紋或 SHA256 指紋。
- 稽核信件必須列出寫入稽核信件的日期。
- 稽核信件必須指出稽核期間開始和結束日期。 請注意,這段期間不是稽核員在現場的期間。
- 稽核信件必須包含 CCADB 中所記錄的 CA 完整名稱。
- 稽核信件必須列出稽核期間所使用的稽核標準。 參考 WebTrust/ETSI 指導方針,或 https://aka.ms/auditreqs 並列出所參考稽核標準的完整名稱和版本。
提交 Webtrust 稽核的 CA
認證 WebTrust 稽核員進行的稽核必須上傳至 https://cert.webtrust.org其稽核信件。
提交 ETSI 稽核的 CA
- 經過認證的 ETSI 稽核員進行的稽核,應將其稽核信件上傳到其稽核員的網站。 如果稽核員未在其網站上張貼,CA 必須在提交稽核信件時提供稽核員的名稱和電子郵件。 一位Microsoft代表向審計師伸出手,以確認信件的真實性。
- CA 可以使用 EN 319 411-2 或 411-2 原則提交稽核。
F. 稽核提交
若要提交年度稽核,請參閱 CCADB 指示,以瞭解如何建立在這裡找到的稽核案例: https://ccadb.org/cas/updates。
如果 CA 正在套用至根存放區,且不在 CCADB 中,則應該傳送稽核證明電子郵件給 msroot@microsoft.com。
傳統 CA 稽核標準版
Program 接受兩種類型的稽核標準:WebTrust 和 ETSI。 針對左側的每個 EKU,Microsoft需要符合標示標準的稽核。
注意
自 2024 年 2 月起,CA 提供者必須確保其已啟用 S/MIME 的根 CA,以及所有能夠發行 S/MIME 憑證的次級 CA,並將繼續根據最新版本,至少稽核下列其中一組準則。
- 證書頒發機構單位的 WebTrust 準則和準則 – S/MIME
- ETSI TS 119 411-6 LCP、NCP 或 NCP+
A. WebTrust Audits
Microsoft現在將需要證書頒發機構單位的 WebTrust Trust Services 準則和準則-- 程式代碼簽署任何稽核陳述的程式代碼簽署,期間從 2018 年 1 月 1 日或之後開始。 對於已為其根目錄啟用程式代碼簽署 EKU 的任何 CA,都需要這樣做。 如果 CA 已在根目錄上啟用程式代碼簽署 EKU,但不主動發行程式代碼簽署憑證,他們可以連 msroot@microsoft.com 絡 ,讓 EKU 狀態設定為 「NotBefore」。。
| 準則 | CA v2.1 的WebTrust | 具有網路安全性 v2.3 的 SSL 基準 | 擴充驗證 SSL v1.6.2 | 擴充驗證碼簽署 v1.4.1 | 公開信任的程式代碼簽署憑證 v1.0.1 | 證書頒發機構單位的 WebTrust 準則和準則 – S/MIME |
|---|---|---|---|---|---|---|
| 伺服器驗證 (非 EV) | X | X | ||||
| 僅限伺服器驗證 (非 EV) 和客戶端驗證 | X | X | ||||
| 伺服器驗證 (EV) | X | X | X | |||
| 僅限伺服器驗證 (EV) 和客戶端驗證 | X | X | X | |||
| EV 程式代碼簽署 | X | X | ||||
| 非 EV 程式代碼簽署和時間戳 | X | X | ||||
| 安全的電子郵件 (S/MIME) | X | X | ||||
| 用戶端驗證 (不含伺服器認證) | X | |||||
| 檔簽署 | X |
B. ETSI 型稽核
附注 1:如果 CA 使用 ETSI 型稽核,則必須每年執行 完整 稽核,Microsoft不接受監視稽核。 附注 2:所有 ETSI 稽核語句都必須根據 CA/瀏覽器論壇需求進行稽核,且符合這些需求的合規性必須在稽核信件中說明。 ACAB'c https://acab-c.com 已提供符合Microsoft需求的指引。
| 準則 | EN 319 411-1:DVCP、OVCP 或VP-BR 原則 | EN 319 411-1:EVCP 原則 | EN 319 411-2:QCP-w/QEVCP-w 原則(以 EN 319 411-1 為基礎,EVCP) | EN 319 411-1:LCP、NCP、NCP+ 原則 | EN 319 411-2:QCP-n、QCP-n-qscd、QCP-l、QCP-l-qscd 原則(根據 EN 319 411-1、NCP/NCP+) | ETSI EN 319 411-1、LCP、NCP 或 NCP+ 原則,由 ETSI TS 119 411-6 或 ETSI EN 319 411-2、QCP-n、QCP-n-qscd 或 QCP-I-qscd 原則修改,由 ETSI TS 411-6 修改 |
|---|---|---|---|---|---|---|
| 伺服器驗證 (非 EV) | X | |||||
| 僅限伺服器驗證 (非 EV) 和客戶端驗證 | X | |||||
| 伺服器驗證 (EV) | X | |||||
| 僅限伺服器驗證 (EV) 和客戶端驗證 | X | X | ||||
| EV 程式代碼簽署 | X | X | ||||
| 非 EV 程式代碼簽署和時間戳 | X | X | ||||
| 安全的電子郵件 (S/MIME) | X | X | X | |||
| 用戶端驗證 (不含伺服器認證) | X | X | ||||
| 檔簽署 | X | X |
政府 CA 需求
政府 CA 可以選擇取得商業 CA 所需的先前所述的 WebTrust 或 ETSI 型稽核,或使用對等的稽核。 如果政府 CA 選擇取得 WebTrust 或 ETSI 型稽核,Microsoft會將政府 CA 視為商業 CA。 然後,政府 CA 可以運作,而不會限制發行的憑證。
A. 對等的稽核限制
如果政府 CA 選擇不使用 WebTrust 或 ETSI 稽核,它可能會取得對等的稽核。 在對等稽核中,政府 CA 會選取第三方來執行稽核。 審計有兩個目的:(1)證明政府 CA 遵守當地有關證書頒發機構單位運作的法律法規,(2)證明審計基本上符合相關的 WebTrust 或 ETSI 標準。
如果政府 CA 選擇取得 EA,Microsoft限制政府 CA 可能會發行的憑證範圍。 簽發伺服器驗證憑證的政府 CA 必須限制根目錄到政府控制的網域。 政府必須限制發行任何其他憑證,以ISO3166國家主權控制的國家/地區代碼。
政府 CA 也必須根據跟證書類型接受並採用適當的 CAB 論壇基準需求。 不過,「計劃需求」和「稽核需求」會在衝突的任何層面取代這些需求。
所有進入該計劃的政府 CA 都受限於上述 EA 需求。 所有在 2015 年 6 月 1 日前屬於計劃一部分的政府 CA,將在其當時的稽核到期時立即遵守先前所述的 EA 要求。
B. 對等稽核報告的內容
Microsoft要求提交 EA 的所有政府 CA 提供稽核員的證明信:
- 證明審計是由獨立機構簽發的,由政府授權CA政府進行審計。
- 列出政府 CA 的審計師資格準則,並認證稽核員符合此準則。
- 列出審計師評估政府 CA 作業的特定法規、規則和/或法規。
- 認證政府 CA 符合具名法規、規則和/或法規中所述的需求。
- 提供資訊,說明法規需求如何相當於適當的 WebTrust 或 ETSI 稽核。
- 列出政府 CA 授權的證書頒發機構單位和第三方,在憑證鏈結內代表政府 CA 發行憑證。
- 記錄完整的 PKI 階層。
- 提供稽核周期的開始和結束日期。
定義
政府 CA
「政府 CA」是簽署政府計劃協議的實體。
商業 CA
「商業 CA」是簽署商業計劃合約的實體。
憑證授權單位
「證書頒發機構單位」或「CA」是指根據當地法律法規發行數位證書的實體。
地方法律法規
「地方法律法規」是指 CA 授權發行數位證書的 CA 適用的法律法規,其中規定了發行、維護或撤銷憑證的適用原則、規則和標準,包括稽核頻率和程式。