Conditions requises pour l’audit - Programme de certification racine approuvé Microsoft

Cette page présente les conditions requises pour les autorités de certification qui participent au programme de certificat racine approuvé Microsoft (« Programme ») ainsi que les exigences d’utilisation de chacune des EKU prises en charge actuellement par Microsoft dans le cadre du programme de certificats racines approuvés Microsoft.

Vous trouverez ci-dessous les exigences applicables aux autorités de certification tant commerciales que du secteur public, ainsi que des informations sur ce qui constitue une autorité de certification du secteur public (Voir « Définitions », ci-dessous). Vous trouverez également des informations sur la modification des exigences pour les autorités de certification du secteur public.

Notes

Marquez cette page d’un signet : https://aka.ms/auditreqs


Exigences générales

Microsoft exige que chaque autorité de certification soumette annuellement une preuve d’audit éligible pour l’autorité de certification et toute racine non limitée au sein de sa chaîne d’infrastructure de clés publiques. Un audit éligible doit satisfaire aux cinq exigences principales suivantes :

  1. L’auditeur doit être qualifié.
  2. L’audit doit être conduit dans l’étendue appropriée.
  3. L’audit doit être conduit dans le respect de la norme appropriée.
  4. L’audit doit être conduit et la lettre d’attestation doit être émise dans le délai imparti.
  5. L’auditeur doit établir et soumettre une attestation éligible.

Il incombe à l’autorité de certification de fournir à Microsoft une attestation éligible pour les résultats de l’audit, ainsi que la conformité aux exigences d’audit en temps opportun.

A. Qualifications de l’auditeur

Microsoft considère qu’un auditeur qualifié doit être une personne ou une société indépendantes certifiées pour conduire des audits d’autorité de certification par l’une de trois autorités suivantes : (1) WebTrust, (2) une autorité nationale équivalente à l’ETSI (publiée dans https://aka.ms/ena) ou (3), dans le cas d’une autorité de certification du secteur public, le gouvernement proprement dit (Pour plus d’informations sur les autorités de certification gouvernementales, consultez « Exigences de l’autorité de certification du secteur public » ci-dessous.)

Si une autorité de certification choisit d’obtenir un audit WebTrust, Microsoft exige que l’autorité de certification engage un auditeur titulaire d’une licence WebTrust pour conduire l’audit. La liste complète des auditeurs titulaires d’une licence WebTrust est disponible à l’adresse https://aka.ms/webtrustauditors. Si une autorité de certification choisit d’obtenir un audit basé sur ETSI, Microsoft exige que l’autorité de certification conserve une entité autorisée par une autorité nationale équivalente (ou « ENA »). Un catalogue des ENA acceptables est basé sur la liste disponible à l’adresse https://aka.ms/ena. Si une autorité de certification est exploitée dans un pays qui n’a pas d’autorité nationale équivalente ETSI, Microsoft accepte un audit effectué par un auditeur qualifié sous une autorité nationale équivalente dans le pays d’origine de l’auditeur.

B. Étendue de l’audit

L’étendue de l’audit doit inclure l’ensemble des racines, des sous-racines non limitées et des racines non inscrites à signature croisée, sous la racine, à l’exception des sous-racines limitées à un domaine vérifié. L’audit doit également documenter la hiérarchie complète de l’infrastructure de clés publiques. Les instructions d’audit finales doivent se trouver dans un emplacement accessible au public, et doivent contenir les dates de début et de fin de la période d’audit. Dans le cas d’un audit WebTrust, le ou les sceaux WebTrust doivent également figurer dans un emplacement accessible au public.

C. Évaluation de la disponibilité à un point dans le temps

Microsoft exige un audit avant de commencer à effectuer des opérations commerciales. Pour les autorités de certification commerciales qui n’ont pas émis de certificats depuis au moins 90 jours, Microsoft acceptera un audit de disponibilité à un point dans le temps conduit par un auditeur qualifié. Si l’autorité de certification utilise un audit de disponibilité à un point dans le temps, Microsoft exige un audit de suivi dans un délai de 90 jours après l’émission du premier certificat par l’autorité de certification. Une autorité de certification commerciale participant déjà à notre programme, qui demande l’inclusion d’une nouvelle racine, est exemptée de l’exigence d’audit à un point dans le temps et de période dans le temps pour les nouvelles racines. Au lieu de cela, elle doit être à jour concernant les audits pour ses racines existantes dans le programme.

D. Période entre l’évaluation et l’attestation de l’auditeur

Microsoft exige que l’autorité de certification obtienne un audit de conformité annuel. Pour s’assurer que Microsoft dispose d’informations reflétant exactement les pratiques commerciales actuelles de l’autorité de certification, la lettre d’attestation résultant de l’audit doit être datée et réceptionnée par Microsoft dans les 3 mois à compter de la date de fin spécifiée dans la lettre d’attestation.

E. Attestation d’audit

Microsoft exige que chaque auditeur établisse et soumette à Microsoft une attestation éligible. Une attestation éligible nécessite que l’auditeur établisse une lettre d’attestation éligible.

Microsoft utilise un outil pour analyser automatiquement les lettres d’audit afin de valider l’exactitude de la lettre d’attestation éligible. Cet outil figure dans la base de données de l’autorité de certification commune (Common Certification Authority Database, CCADB). Collaborez avec votre auditeur pour vous assurer que la lettre d’attestation éligible est conforme aux exigences suivantes. Si la lettre d’audit ne remplit pas à l’une de ces exigences, un e-mail est renvoyé à l’autorité de certification, lui demandant de mettre à jour sa lettre d’audit.

POUR TOUTES LES AUTORITÉS DE CERTIFICATION

  1. La lettre d’audit doit être rédigée en anglais.
  2. La lettre d’audit doit être dans un format PDF permettant d’effectuer une recherche de texte.
  3. La lettre d’audit doit contenir le nom de l’auditeur, tel qu’enregistré dans la CCADB.
  4. La lettre d’audit doit contenir l’empreinte SHA1 ou l’empreinte SHA256 des racines auditées.
  5. La lettre d’audit doit contenir la date de sa rédaction.
  6. La lettre d’audit doit indiquer les dates de début et de fin de la période auditée. Notez qu’il ne s’agit pas de la période pendant laquelle l’auditeur était sur site.
  7. La lettre d’audit doit inclure le nom complet de l’autorité de certification, tel qu’enregistré dans la CCADB.
  8. La lettre d’audit doit énoncer les normes d’audit utilisées pendant l’audit. Veuillez référencer les directives WebTrust/ETSI ou https://aka.ms/auditreqs, et indiquer le nom complet et la version des normes d’audit référencées.

Autorités de certification soumettant des audits WebTrust

  1. Les audits conduits par des auditeurs WebTrust certifiés doivent avoir leurs lettres d’audit chargées sur https://cert.webtrust.org.

Autorités de certification soumettant des audits ETSI

  1. Les audits conduits par des auditeurs ETSI certifiés doivent avoir leurs lettres d’audit chargées sur le site web de l’auditeur. Si l’auditeur ne publie pas sur son site web, l’autorité de certification doit fournir le nom et l’adresse e-mail de l’auditeur lors de la soumission de la lettre d’audit. Un représentant Microsoft contactera l’auditeur pour vérifier l’authenticité de la lettre.
  2. Des autorités de certification peuvent soumettre des audits conformément à la politique EN 319 411-2 ou 411-2.

F. Soumission d’audit

Pour soumettre des audits annuels, suivez instructions de la CCADB sur la manière de créer un cas d’audit, accessibles ici : https://ccadb.org/cas/updates.

Si l’autorité de certification s’applique au magasin racine et n’est pas dans le CCADB, elle doit envoyer son attestation d’audit à msroot@microsoft.com.


Normes d’audit conventionnelles d’autorité de certification

Le programme accepte deux types de normes d’audit : WebTrust et ETSI. Pour chacune des utilisations améliorées de la clé à gauche, Microsoft exige un audit conforme à la norme marquée.

R. Audits WebTrust

Microsoft imposera désormais les principes et critères des services d’approbation de WebTrust pour les autorités de certification (signature de code pour les instructions d’audit, avec des périodes commençant au plus tard le 1er janvier 2018). Cela sera exigé de toute autorité de certification ayant l’utilisation améliorée de la clé de signature de code activée pour ses racines. Si une autorité de certification a activé la référence EKU de signature de code sur une racine, mais qu’elle n’émet pas activement de certificats de signature de code, elle peut contacter l’état msroot@microsoft.com de la référence EKU définie sur « NotBefore ».

Critères WebTrust pour CA v2.1 Ligne de base du protocole SSL avec la sécurité réseau v2.3 Protocole SSL de validation étendue v1.6.2 Signature de code de validation étendue v1.4.1 Certificats de signature de code approuvé publiquement v1.0.1
Authentification du serveur (non-EV) X X
Authentification du serveur (non-EV) et authentification du client uniquement X X
Authentification du serveur (EV) X X X
Authentification du serveur (EV) et authentification du client uniquement X X X
Signature de code EV X X
Signature de code et horodatage non-EV X X
E-mail sécurisé (S/MIME) X
Authentification du client (sans authentification du serveur) X
Signature des documents X

B. Audits basés sur ETSI

Remarque 1 : si une autorité de certification utilise un audit basé sur ETSI, elle doit effectuer un audit complet annuellement, et Microsoft n’accepte pas les audits de surveillance. Remarque 2 : toutes les instructions d’audits de l’ETSI doivent être auditées par rapport aux exigences du Forum sur l’autorité de certification et le navigateur, et la conformité à ces exigences doit être déclarée dans la lettre d’audit. ACAB’c [https://acab-c.com ] a fourni des instructions répondant aux exigences de Microsoft.

Critères EN 319 411-1 : politiques DVCP, OVCP ou PTC-BR EN 319 411-1 : politique EVCP EN 319 411-2 : politique QCP-w (basée sur EN 319 411-1, EVCP) EN 319 411-1 : politiques LCP, NCP et NCP+ EN 319 411-2 : politiques QCP-n, QCP-n-qscd, QCP-l et QCP-l-qscd (basées sur EN 319 411-1, NCP/NCP+)
Authentification du serveur (non-EV) X
Authentification du serveur (non-EV) et authentification du client uniquement X
Authentification du serveur (EV) X
Authentification du serveur (EV) et authentification du client uniquement X X
Signature de code EV X X
Signature de code et horodatage non-EV X X
E-mail sécurisé (S/MIME) X X
Authentification du client (sans authentification du serveur) X X
Signature des documents X X

Exigences pour les autorités de certification du secteur public

Les autorités de certification du secteur public peuvent choisir entre obtenir les audits WebTrust ou basés sur ETSI ci-dessus requis des autorités de certification commerciales, ou utiliser un audit équivalent. Si une autorité de certification du secteur public choisit d’obtenir un audit WebTrust ou basé sur ETSI, Microsoft traite l’autorité de certification du secteur public comme une autorité de certification commerciale. L’autorité de certification du secteur public peut alors opérer sans limiter les certificats qu’elle émet.

R. Restrictions d’audit équivalentes

Si l’autorité de certification du secteur public choisit de ne pas utiliser un audit WebTrust ou ETSI, elle peut obtenir un audit équivalent. Dans un audit équivalent (« EA »), l’autorité de certification du gouvernement sélectionne un tiers pour effectuer un audit. L’audit a deux objectifs : (1) démontrer que l’autorité de certification du secteur public respecte les lois et réglementations locales applicables aux autorités de certification, et (2) démontrer que l’audit respecte essentiellement la norme WebTrust ou ETSI concernée.

Si une autorité de certification du secteur public choisit d’obtenir un Contrat Entreprise, Microsoft limite l’étendue des certificats que l’autorité de certification du secteur public peut émettre. Les autorités de certification du secteur public qui émettent des certificats d’authentification de serveur doivent limiter la racine aux domaines contrôlés par le secteur public. Les gouvernements doivent limiter l’émission de tout autre certificat aux codes pays ISO3166 sur lesquels le pays exerce un contrôle souverain.

Les autorités de certification du secteur public doivent également accepter et adopter les exigences de base du forum CAB appropriées pour les autorités de certification, en fonction du type de certificat que la racine émet. Toutefois, les exigences du Programme et les exigences d’audit prévalent sur ces exigences en cas de conflit.

Toutes les autorités de certification du secteur public participant au Programme sont soumises aux exigences du Contrat Entreprise ci-dessus. Toutes les autorités de certification du secteur public participant au Programme depuis une date antérieure au 1er juin 2015 seront soumises aux exigences du Contrat Entreprise précité, dès l’expiration de leur audit en cours.

B. Contenu du rapport d’audit équivalent

Microsoft exige que toutes les autorités de certification du secteur public qui soumettent un Contrat Entreprise fournissent une lettre d’attestation de l’auditeur, qui :

  1. Atteste que l’audit est émis par un organisme indépendant qui est autorisé par le gouvernement de l’autorité de certification du gouvernement à effectuer la vérification;
  2. Répertorie les critères du gouvernement de l’AUTORITÉ de certification du gouvernement pour la qualification de l’auditeur et confirme que l’auditeur répond à ces critères;
  3. Répertorie les lois, règles et/ou réglementations particulières auxquelles l’auditeur a évalué les opérations de l’autorité de certification du gouvernement;
  4. Certifier la conformité de l’autorité de certification du gouvernement aux exigences décrites dans les lois, règles et/ou règlements nommés;
  5. Fournit des informations qui décrivent comment les exigences de la loi sont équivalentes aux audits WebTrust ou ETSI appropriés ;
  6. Répertorie les autorités de certification et les tiers autorisés par l’autorité de certification du gouvernement à émettre des certificats au nom de l’autorité de certification du secteur public au sein d’une chaîne de certificats;
  7. documente la hiérarchie complète de l’infrastructure de clés publiques ;
  8. indique les dates de début et de fin de la période d’audit.

Définitions

Autorité de certification du secteur public

Une « autorité de certification du secteur public » est une entité signataire du contrat programme du secteur public.

Autorité de certification commerciale

Une « autorité de certification commerciale » est une entité signataire du contrat programme commercial.

Autorité de certification

« Autorité de certification » ou « autorité de certification » signifie une entité qui émet des certificats numériques conformément aux lois et réglementations locales.

Lois et réglementations locales

« Lois et réglementations locales » signifie les lois et réglementations applicables à une autorité de certification sous laquelle l’autorité de certification est autorisée à émettre des certificats numériques, qui définissent les stratégies, règles et normes applicables pour l’émission, la maintenance ou la révocation de certificats, y compris la fréquence d’audit et la procédure.