Conditions requises pour l'audit - Programme de certification racine approuvé Microsoft
Cette page énonce les exigences applicables aux autorités de confiance (CA) qui participent au Programme de certificat racine approuvé Microsoft (« Programme »), ainsi que les exigences liées à l'utilisation de chacune des utilisations améliorées de la clé que Microsoft prend actuellement en charge dans le cadre de son Programme de certificat racine approuvé.
Vous trouverez ci-dessous les exigences applicables aux autorités de certification tant commerciales que du secteur public, ainsi que des informations sur ce qui constitue une autorité de certification du secteur public (Consultez « Définitions » ci-dessous). Vous trouverez également des informations sur la modification des exigences pour les autorités de certification du secteur public.
Remarque
Marquez cette page d'un signet : https://aka.ms/auditreqs
Exigences générales
Microsoft exige que chaque autorité de certification soumette annuellement une preuve d'audit éligible pour l'autorité de certification et toute racine non limitée au sein de sa chaîne d'infrastructure de clés publiques. Un audit éligible doit satisfaire aux cinq exigences principales suivantes :
- L'auditeur doit être qualifié.
- L'audit doit être conduit dans l'étendue appropriée.
- L'audit doit être conduit dans le respect de la norme appropriée.
- L'audit doit être conduit et la lettre d'attestation doit être émise dans le délai imparti.
- L'auditeur doit établir et soumettre une attestation éligible.
Il incombe à l'autorité de certification de fournir à Microsoft une attestation éligible pour les résultats de l'audit, ainsi que la conformité aux exigences d'audit en temps opportun.
A. Qualifications de l'auditeur
Microsoft considère qu'un auditeur qualifié doit être une personne ou une société indépendantes certifiées pour conduire des audits d'autorité de certification par l'une de trois autorités suivantes : (1) WebTrust, (2) une autorité nationale équivalente à l'ETSI (publiée dans https://aka.ms/ena) ou (3), dans le cas d'une autorité de certification du secteur public, le gouvernement proprement dit (Pour plus d'informations sur les autorités de confiance de l'administration, consultez « Exigences applicables aux autorités de confiance de l'administration » ci-dessous).
Si une autorité de certification choisit d'obtenir un audit WebTrust, Microsoft exige que l'autorité de certification engage un auditeur titulaire d'une licence WebTrust pour conduire l'audit. La liste complète des auditeurs titulaires d'une licence WebTrust est disponible à l'adresse https://aka.ms/webtrustauditors. Si une autorité de confiance choisit d'obtenir un audit basé sur ETSI, Microsoft exige que l'autorité de confiance engage une entité autorisée par une autorité nationale équivalente (ou « ENA », Equivalent National Authority). Un catalogue des ENA acceptables est basé sur la liste disponible à l'adresse https://aka.ms/ena. Si une autorité de confiance est active dans un pays ne disposant pas d'une autorité nationale équivalente à l'ETSI, Microsoft acceptera un audit conduit par un auditeur qualifié, reconnu par une autorité nationale équivalente dans le pays de l'auditeur.
B. Étendue de l'audit
L'étendue de l'audit doit inclure l'ensemble des racines, des sous-racines non limitées et des racines non inscrites à signature croisée, sous la racine, à l'exception des sous-racines limitées à un domaine vérifié. L'audit doit également documenter la hiérarchie complète de l'infrastructure de clés publiques. Les instructions d'audit finales doivent se trouver dans un emplacement accessible au public, et doivent contenir les dates de début et de fin de la période d'audit. Dans le cas d'un audit WebTrust, le ou les sceaux WebTrust doivent également figurer dans un emplacement accessible au public.
C. Évaluation de la disponibilité à un point dans le temps
Microsoft exige un audit avant de commencer à effectuer des opérations commerciales. Pour les autorités de certification commerciales qui n'ont pas émis de certificats depuis au moins 90 jours, Microsoft acceptera un audit de disponibilité à un point dans le temps conduit par un auditeur qualifié. Si l'autorité de certification utilise un audit de disponibilité à un point dans le temps, Microsoft exige un audit de suivi dans un délai de 90 jours après l'émission du premier certificat par l'autorité de certification. Une autorité de certification commerciale participant déjà à notre programme, qui demande l'inclusion d'une nouvelle racine, est exemptée de l'exigence d'audit à un point dans le temps et de période dans le temps pour les nouvelles racines. Au lieu de cela, elle doit être à jour concernant les audits pour ses racines existantes dans le programme.
D. Période entre l'évaluation et l'attestation de l'auditeur
Microsoft exige que l'autorité de certification obtienne un audit de conformité annuel. Pour s'assurer que Microsoft dispose d'informations reflétant exactement les pratiques commerciales actuelles de l'autorité de certification, la lettre d'attestation résultant de l'audit doit être datée et réceptionnée par Microsoft dans les 3 mois à compter de la date de fin spécifiée dans la lettre d'attestation.
E. Attestation d'audit
Microsoft exige que chaque auditeur établisse et soumette à Microsoft une attestation éligible. Une attestation éligible nécessite que l'auditeur établisse une lettre d'attestation éligible.
Microsoft utilise un outil pour analyser automatiquement les lettres d'audit afin de valider l'exactitude de la lettre d'attestation éligible. Cet outil figure dans la base de données de l'autorité de certification commune (Common Certification Authority Database, CCADB). Collaborez avec votre auditeur pour vous assurer que la lettre d'attestation éligible est conforme aux exigences suivantes. Si la lettre d'audit ne remplit pas à l'une de ces exigences, un e-mail est renvoyé à l'autorité de certification, lui demandant de mettre à jour sa lettre d'audit.
POUR TOUTES LES AUTORITÉS DE CERTIFICATION
- La lettre d'audit doit être rédigée en anglais.
- La lettre d'audit doit être dans un format PDF permettant d'effectuer une recherche de texte.
- La lettre d'audit doit contenir le nom de l'auditeur, tel qu'enregistré dans la CCADB.
- La lettre d'audit doit contenir l'empreinte SHA1 ou l'empreinte SHA256 des racines auditées.
- La lettre d'audit doit contenir la date de sa rédaction.
- La lettre d'audit doit indiquer les dates de début et de fin de la période auditée. Notez qu'il ne s'agit pas de la période pendant laquelle l'auditeur était sur site.
- La lettre d'audit doit inclure le nom complet de l'autorité de certification, tel qu'enregistré dans la CCADB.
- La lettre d'audit doit énoncer les normes d'audit utilisées pendant l'audit. Veuillez référencer les directives WebTrust/ETSI ou https://aka.ms/auditreqs, et indiquer le nom complet et la version des normes d'audit référencées.
Autorités de certification soumettant des audits WebTrust
- Les audits conduits par des auditeurs WebTrust certifiés doivent avoir leurs lettres d'audit chargées sur https://cert.webtrust.org.
Autorités de certification soumettant des audits ETSI
- Les audits conduits par des auditeurs ETSI certifiés doivent avoir leurs lettres d'audit chargées sur le site web de l'auditeur. Si l'auditeur ne publie pas sur son site web, l'autorité de certification doit fournir le nom et l'adresse e-mail de l'auditeur lors de la soumission de la lettre d'audit. Un représentant Microsoft contactera l'auditeur pour vérifier l'authenticité de la lettre.
- Des autorités de certification peuvent soumettre des audits conformément à la politique EN 319 411-2 ou 411-2.
F. Soumission d'audit
Pour soumettre des audits annuels, suivez instructions de la CCADB sur la manière de créer un cas d'audit, accessibles ici : https://ccadb.org/cas/updates.
Si l'autorité de confiance postule auprès du magasin racine alors qu'elle ne figure pas dans la CCADB, elle doit envoyer son attestation d'audit par e-mail à msroot@microsoft.com.
Normes d'audit conventionnelles d'autorité de certification
Le programme accepte deux types de normes d'audit : WebTrust et ETSI. Pour chacune des utilisations améliorées de la clé à gauche, Microsoft exige un audit conforme à la norme marquée.
Remarque : À compter de février 2024, les fournisseurs d’autorité de certification doivent s’assurer que leurs autorités de certification racine activées pour S/MIME et toutes les autorités de certification subordonnées capables d’émettre des certificats S/MIME ont été et continueront d’être auditées par rapport à la version la plus récente, au minimum, de l’un des ensembles de critères ci-dessous.
- Principes et critères WebTrust pour les autorités de certification – S/MIME
- ETSI EN 119 411-6 LCP, NCP ou NCP+
A. Audits WebTrust
Microsoft imposera désormais les principes et critères des services d'approbation de WebTrust pour les autorités de certification (signature de code pour les instructions d'audit, avec des périodes commençant au plus tard le 1er janvier 2018). Cela sera exigé de toute autorité de certification ayant l'utilisation améliorée de la clé de signature de code activée pour ses racines. Si une autorité de confiance a activé l'utilisation améliorée de la clé du code de signature sur une racine, mais ne délivre pas activement de certificats de code de signature, elle peut s'adresser à msroot@microsoft.com pour demander que l'état de l'utilisation améliorée de la clé de code soit défini sur « NotBefore ».
| Critères | WebTrust pour CA v2.1 | Ligne de base du protocole SSL avec la sécurité réseau v2.3 | Protocole SSL de validation étendue v1.6.2 | Signature de code de validation étendue v1.4.1 | Certificats de signature de code approuvé publiquement v1.0.1 | Principes et critères WebTrust pour les autorités de certification – S/MIME |
|---|---|---|---|---|---|---|
| Authentification du serveur (non-EV) | X | X | ||||
| Authentification du serveur (non-EV) et authentification du client uniquement | X | X | ||||
| Authentification du serveur (EV) | X | X | X | |||
| Authentification du serveur (EV) et authentification du client uniquement | X | X | X | |||
| Signature de code EV | X | X | ||||
| Signature de code et horodatage non-EV | X | X | ||||
| E-mail sécurisé (S/MIME) | X | X | ||||
| Authentification du client (sans authentification du serveur) | X | |||||
| Signature de document | X |
B. Audits basés sur ETSI
Remarque 1 : si une autorité de certification utilise un audit basé sur ETSI, elle doit effectuer un audit complet annuellement, et Microsoft n'accepte pas les audits de surveillance. Remarque 2 : toutes les instructions d'audits de l'ETSI doivent être auditées par rapport aux exigences du Forum sur l'autorité de certification et le navigateur, et la conformité à ces exigences doit être déclarée dans la lettre d'audit. ACAB'c [https://acab-c.com] a fourni des instructions répondant aux exigences de Microsoft.
| Critères | EN 319 411-1 : politiques DVCP, OVCP ou PTC-BR | EN 319 411-1 : politique EVCP | EN 319 411-2 : politique QCP-w (basée sur EN 319 411-1, EVCP) | EN 319 411-1 : politiques LCP, NCP et NCP+ | EN 319 411-2 : politiques QCP-n, QCP-n-qscd, QCP-l et QCP-l-qscd (basées sur EN 319 411-1, NCP/NCP+) | EN 119 411-6 : LCP, NCP ou NCP+ |
|---|---|---|---|---|---|---|
| Authentification du serveur (non-EV) | X | |||||
| Authentification du serveur (non-EV) et authentification du client uniquement | X | |||||
| Authentification du serveur (EV) | X | |||||
| Authentification du serveur (EV) et authentification du client uniquement | X | X | ||||
| Signature de code EV | X | X | ||||
| Signature de code et horodatage non-EV | X | X | ||||
| E-mail sécurisé (S/MIME) | X | X | X | |||
| Authentification du client (sans authentification du serveur) | X | X | ||||
| Signature de document | X | X |
Exigences pour les autorités de certification du secteur public
Les autorités de certification du secteur public peuvent choisir entre obtenir les audits WebTrust ou basés sur ETSI ci-dessus requis des autorités de certification commerciales, ou utiliser un audit équivalent. Si une autorité de certification du secteur public choisit d'obtenir un audit WebTrust ou basé sur ETSI, Microsoft traite l'autorité de certification du secteur public comme une autorité de certification commerciale. L'autorité de certification du secteur public peut alors opérer sans limiter les certificats qu'elle émet.
A. Restrictions d'audit équivalentes
Si l'autorité de certification du secteur public choisit de ne pas utiliser un audit WebTrust ou ETSI, elle peut obtenir un audit équivalent. Dans un audit équivalent (« EA »), l'autorité de confiance de l'administration sélectionne un tiers pour conduire un audit. L'audit a deux objectifs : (1) démontrer que l'autorité de certification du secteur public respecte les lois et réglementations locales applicables aux autorités de certification, et (2) démontrer que l'audit respecte essentiellement la norme WebTrust ou ETSI concernée.
Si une autorité de certification du secteur public choisit d'obtenir un Contrat Entreprise, Microsoft limite l'étendue des certificats que l'autorité de certification du secteur public peut émettre. Les autorités de certification du secteur public qui émettent des certificats d'authentification de serveur doivent limiter la racine aux domaines contrôlés par le secteur public. Les gouvernements doivent limiter l'émission de tout autre certificat aux codes pays ISO3166 sur lesquels le pays exerce un contrôle souverain.
Les autorités de certification du secteur public doivent également accepter et adopter les exigences de base du forum CAB appropriées pour les autorités de certification, en fonction du type de certificat que la racine émet. Toutefois, les exigences du Programme et les exigences d'audit prévalent sur ces exigences en cas de conflit.
Toutes les autorités de certification du secteur public participant au Programme sont soumises aux exigences du Contrat Entreprise ci-dessus. Toutes les autorités de certification du secteur public participant au Programme depuis une date antérieure au 1er juin 2015 seront soumises aux exigences du Contrat Entreprise précité, dès l'expiration de leur audit en cours.
B. Contenu du rapport d'audit équivalent
Microsoft exige que toutes les autorités de certification du secteur public qui soumettent un Contrat Entreprise fournissent une lettre d'attestation de l'auditeur, qui :
- atteste que l'audit est émis par une agence indépendante qui est autorisée par l'administration de l'autorité de confiance à effectuer l'audit ;
- énonce les critères de l'administration de l'autorité de confiance de l'administration en matière de qualification de l'auditeur, et certifie que l'auditeur réunit ces critères ;
- énonce les lois, règles et/ou réglementations spécifiques sur la base desquels l'auditeur a évalué les opérations de l'autorité de confiance de l'administration ;
- certifie la conformité de l'autorité de confiance de l'administration aux exigences énoncées dans les lois, règles et/ou réglementations en vigueur énoncées ;
- fournit des informations décrivant la manière dont les exigences légales équivalent aux audits WebTrust ou ETSI appropriés ;
- énumère les autorités de confiance et les tiers autorisés par l'autorité de confiance de l'administration à émettre des certificats pour le compte de cette autorité de confiance dans une chaîne de certification ;
- documente la hiérarchie complète de l'infrastructure de clés publiques ;
- indique les dates de début et de fin de la période d'audit.
Définitions
Autorité de certification du secteur public
Une « autorité de certification du secteur public » est une entité signataire du contrat programme du secteur public.
Autorité de certification commerciale
Une « autorité de certification commerciale » est une entité signataire du contrat programme commercial.
Autorité de certification
Une « autorité de confiance », ou « CA », désigne une entité qui émet des certificats numériques conformément aux lois et réglementations locales.
Lois et réglementations locales
Les « lois et réglementations locales » désignent les lois et réglementations applicables à une autorité de confiance, en vertu desquelles celle-ci est autorisée à émettre des certificats numériques qui définissent les stratégies, règles et normes applicables pour émettre, maintenir ou révoquer des certificats, notamment la fréquence et la procédure d'audit.