Programkövetelmények – Microsoft megbízható gyökérprogram

1. Bevezetés

A Microsoft gyökértanúsítvány-program támogatja a főtanúsítványok terjesztését, így az ügyfelek megbíznak Windows termékekben. Ez a lap a Program általános és technikai követelményeit ismerteti.

Megjegyzés

2. A program további követelményei

Auditkövetelmények

  1. A program résztvevőinek meg kell adniuk a Microsoftnak a Minősített ellenőrzés (lásd https://aka.ms/auditreqs) tanúsítványát az egyes legfelső szintű, a nem korlátozott alsóbb szintű hitelesítésszolgáltatóra és a kereszta aláírt tanúsítványokra vonatkozóan, mielőtt kereskedelmi műveleteket végeznek, majd évente végeznek további műveleteket.
  2. A program résztvevőinek felelősséget kell vállalniuk annak biztosításáért, hogy az összes nem korlátozott alsóbb szintű hitelesítésprogram és kereszta aláírt tanúsítvány megfelel a program könyvvizsgálati követelményeinek.
  3. A CAS-nak nyilvánosan közzé kell tennie minden, a nem korlátozott alsóbb szintű hitelesítés hitelesítéssel kapcsolatos jelentést.

Kommunikációs és közzétételi követelmények

  1. A program résztvevőinek meg kell adniuk legalább két "megbízható ügynök" identitását a Microsoftnak ahhoz, hogy a Program és egy általános e-mail-alias képviselje őket. A program résztvevőinek tájékoztatniuk kell a Microsoftot a munkatársak megbízható ügynökként történő eltávolításáról vagy kiegészítéséről. A program résztvevői beleegyeznek abba, hogy az értesítéseket e-mailben megkapják, és hivatalos közlemények fogadására e-mail-címet kell adniuk a Microsoftnak. A program résztvevőinek el kell egyezniük abban, hogy az értesítés akkor lesz hatékony, amikor a Microsoft e-mailt vagy hivatalos levelet küld. A megadott partnerek vagy aliasok legalább egyikének a nap bármely felében figyelt kommunikációs csatornának kell lennie visszavonási kérések vagy egyéb incidenskezelési esetek esetére.

  2. A program résztvevőjének éves alapon fel kell fednie a Microsoft felé a teljes PKI-hierarchiát (nem korlátozott alsóbb szintű hitelesítésszolgáltató, nem regisztrált legfelső szintű hitelesítésszolgáltató, alsóbb szintű hitelesítésszolgáltató, tanúsítványkényerek), beleértve a külső harmadik felek által a CCADB-n belül üzemeltetett hitelesítésszolgáltatók számára kibocsátott tanúsítványokat is. A program résztvevőinek módosítások esetén pontosnak kell tartaniuk ezt az információt a CCADB-ben. Ha egy alárendelt hitelesítésszolgáltatót nem fednek fel nyilvánosan, vagy nem végez naplózást, tartományval kapcsolatos korlátozásnak kell lennie.

  3. A program résztvevőinek e-mailben értesíteniük kell a Microsoftot legalább 120 nappal a regisztrált legfelső szintű vagy alsóbb szintű hitelesítésszolgáltató tulajdonjogának átruházása előtt, amely egy regisztrált legfelső szintű entitáshoz vagy személyhez láncol.

  4. Ok: A kódnak szerepelnie kell a köztes tanúsítványok visszavonásában. A CCADB-nek frissítenie kell a CCADB-t a közbenső tanúsítványok 30 napon belül történő visszahozatkozásakor.

  5. A program résztvevői beleegyeznek abba, hogy a Microsoft kapcsolatba léphet az ügyfelekkel, akik szerint a Microsoftot lényegesen befolyásolhatja a legfelső szintű hitelesítésszolgáltató Programból való eltávolításának függőben lévő hatása.

Egyéb követelmények

  1. A kereskedelmi hitelesítésszolgáltató nem regisztrálhat legfelső szintű hitelesítésszolgáltatót a Programba, amely elsősorban szervezeten belüli megbízhatónak (például nagyvállalati hitelesítésszolgáltatónak) tekinthető.

  2. Ha egy hitelesítésszolgáltató alvállalkozót használ üzletének bármely aspektusának a működtetésére, a hitelesítésszolgáltató vállalja a felelősséget a alvállalkozó üzleti műveleteiért.

  3. Ha a Microsoft saját belátása szerint olyan tanúsítványt azonosít, amelynek a használata vagy attribútumai ellentétesek a Megbízható gyökérprogram céljaival, a Microsoft értesítést küld a felelős hitelesítésszolgáltatónak, és a tanúsítvány visszavonását kéri. A hitelesítésszolgáltatónak vagy vissza kell vonnia a tanúsítványt, vagy kivételt kell kérnie a Microsofttól a Microsoft értesítését követő 24 órán belül. A Microsoft felül fogja vizsgálni a beküldött anyagokat, és tájékoztatja a hitelesítésszolgáltatót a saját belátása szerint a kivétel megadásáról vagy elutasításról szóló végleges döntésről. Ha a Microsoft nem ad meg kivételt, a hitelesítésszolgáltatónak a kivétel megtagadását követő 24 órán belül vissza kell vonnia a tanúsítványt.


3. Program technikai követelményei

A Program minden CA-jának meg kell felelnie a Program műszaki követelményeinek. Ha a Microsoft azt határozzák meg, hogy egy hitelesítésszolgáltató nem felel meg az alábbi követelményeknek, a Microsoft kizárja a hitelesítésszolgáltatót a Programból.

A. Gyökérkövetelmények

  1. A főtanúsítványnak x.509 v3 tanúsítványnak kell lennie.
    1. A CN attribútumnak azonosítania kell a közzétevőt, és egyedinek kell lennie.
    2. A CN attribútumnak a hitelesítésszolgáltató piacának megfelelő nyelven kell lennie, és az adott piacon egy tipikus ügyfél számára olvashatónak kell lennie.
    3. Egyszerű kényszerek kiterjesztése: a cA=true értéknek kell lennie.
    4. A kulcshasználati bővítménynek jelen kell lennie, és kritikusként kell megjelölnie. A KeyCertSign és a cRLSign bitpozícióit be kell állítani. Ha a legfelső szintű hitelesítésszolgáltató privát kulcsát használja az OCSP-válaszok aláírásához, akkor be kell állítani a digitalSignature bitet.
      • A gyökérkulcs-méreteknek meg kell felelnie a "Kulcskövetelmények" követelményeknek.
  2. A megbízható legfelső szintű tárolóhoz hozzáadható tanúsítványoknak öna aláírt főtanúsítványnak kell lennie.
  3. Az újonnan létrehozott legfelső szintű hitelesítésszabályoknak a beküldés dátumán belül legalább 8 évig, de legfeljebb 25 évig kell érvényesnek lennie.
  4. Előfordulhat, hogy a részt vevő legfelső szintű CA-k nem adnak ki új 1024 bites RSA-tanúsítványokat az e követelmények hatálya alá tartozó gyökérökből.
  5. Minden végfelhasználói tanúsítványnak érvényes OCSP URL-címet tartalmazó AIA kiterjesztést kell tartalmaznia. Ezek a tanúsítványok egy érvényes VISSZAVONT URL-címet tartalmazó CDP-kiterjesztést is tartalmazhatnak. Minden más tanúsítványtípusnak ocSP URL-t tartalmazó AIA kiterjesztést vagy érvényes CRL URL-t tartalmazó CDP-kiterjesztést kell tartalmaznia.
  6. A személyes kulcsoknak és a tulajdonosneveknek gyökértanúsítványonként egyedinek kell lennie; ha a személyes kulcsokat vagy a tulajdonosneveket ugyanannak a hitelesítésszolgáltatónak a további főtanúsítványaiban ismét felhasználhatja, az váratlan tanúsítványlánc-problémákat okozhat. A hitelesítésszolgáltatónak létre kell hoznia egy új kulcsot, és új tulajdonosnevet kell alkalmaznia, amikor a Microsoft által való terjesztés előtt létrehoz egy új főtanúsítványt.
  7. A kormányzati hitelesítésszolgáltatónak a kiszolgálók hitelesítését kormányzati szinten kibocsátott legfelső szintű tartományokra kell korlátoznia, és előfordulhat, hogy más tanúsítványokat is ki kell kiállítania az ISO3166 országkódokra, amelyek fölött az ország szuverén ellenőrzést rendelkezik ( https://aka.ms/auditreqs a "kormányzati hitelesítésszolgáltató" meghatározása a III. szakaszban található). Ezeket a kormány által kibocsátott TLD-eket minden egyes hitelesítésszolgáltató szerződése hivatkozik.
  8. A részt vevő legfelső szintű hitelesítésszolgáltatóhoz láncoló hitelesítésszolgáltatói tanúsítványokat ki kell választania a kiszolgálóhitelesítési, az S/MIME-, a kódaláírozás és az időbélyegzési használattól. Ez azt jelenti, hogy egyetlen kibocsátó hitelesítésszolgáltató nem kombinálhatja a kiszolgálói hitelesítést S/MIME-kódokkal, kódaláírozással vagy időbélyegző EKU-val. Minden használat esetén külön köztes köztest kell használni.
  9. A végponti tanúsítványoknak meg kell felelnie az algoritmus típusára és a CAB-fórum alapkövetelményei (A) mellékletében felsorolt előfizetői tanúsítványok kulcsméretére vonatkozó követelményeknek https://cabforum.org/baseline-requirements-documents/.
  10. A hitelesítésszolgáltatónak az alábbi házirendek egyikét kell deklarálni a tanúsítvány-házirendbővítmény záró entitás tanúsítványában:
    1. DV 2.23.140.1.2.1
    2. OV 2.23.140.1.2.2
    3. EV 2.23.140.1.1.
    4. IV 2.23.140.1.2.3
    5. EV-kód aláírása 2.23.140.1.3
    6. Nem EV-kód aláírása 2.23.140.1.4.1
  11. Az IETF RFC 5280 szabványnak megfelelő Egyszerű korlátozások kiterjesztést magukban foglaló végfelhasználói tanúsítványokon a cA mezőnek HAMIS-nak kell lennie, és a pathLenConstraint mezőnek távol kell lennie.
  12. A hitelesítésszolgáltatónak technikailag meg kell korlátozónak lennie az OCSP-válaszadókra, hogy csak az OCSP-aláírást engedélyezettek.
  13. A hitelesítésszolgáltatónak a Microsoft kérésére egy adott időpontig képesnek kell lennie visszavonni a tanúsítványt.

B. Aláírási követelmények

Algoritmus Minden használat, kivéve a kód-aláírást és az időbélyegzőt Kódalá- és időbélyeg-használat
Algoritmusok kivonatolása SHA2 (SHA256, SHA384, SHA512) SHA2 (SHA256, SHA384, SHA512)
RSA 2048 4096 (csak új gyökér)
ECC /ECDSA NIST P-256, P-384, P-521 NIST P-256, P-384, P-521

C. Visszavonási követelmények

  1. A hitelesítésszolgáltatónak dokumentált visszavonási házirendnek kell lennie, és képesnek kell lennie visszavonni az esetleges problémákkal kapcsolatos tanúsítványokat.
  2. A kiszolgálói hitelesítési tanúsítványokat kiadó CAS-knak támogatniuk kell az alábbi OCSP-válaszadó követelményeit:
    1. Nyolc (8) óra minimális érvényességének; Legfeljebb hét (7) nap érvényessége; és
    2. A következő frissítésnek legalább nyolc (8) órával az aktuális időszak lejárta előtt elérhetőnek kell lennie. Ha az érvényesség több mint 16 óra, akkor a következő frissítésnek elérhetőnek kell lennie az érvényességi időszak 01.02-ig.
  3. A legfelső szintű hitelesítésszolgáltatótól kibocsátott összes tanúsítványnak támogatnia kell a CRL terjesztési pont kiterjesztését és/vagy az OCSP-válaszadó URL-címét tartalmazó AIA-t.
  4. A hitelesítésszolgáltató nem használhatja a főtanúsítványt a végfelhasználói tanúsítványok kibocsátásához.
  5. Ha egy hitelesítésszolgáltató kódalá aláíró tanúsítványokat ad ki, akkor olyan időbélyegzőt kell használnia, amely megfelel az RFC 3161, "Internet X.509 public key infrastructure Time-Stamp Protocol (TSP) szabványnak."

D. Kódalá aláíró gyökértanúsítvány követelményei

  1. A kódalá aláírását támogató főtanúsítványokat a Program 10 évvel a cseregyűjte után 10 évvel, illetve a hitelesítésszolgáltató kérésére hamarabb eltávolíthatja a terjesztésből.
  2. Azok a főtanúsítványok, amelyek továbbra is terjesztésben maradnak, hogy csak az algoritmus biztonsági élettartamán túli kódalájeleket használjanak (például RSA 1024 = 2014, RSA 2048 = 2030) a Windows 10 operációs rendszerben is "letiltható".

E. EKU-követelmények

  1. A hitelesítésszolgáltatónak meg kell adnia egy üzleti igazolást a főtanúsítványhoz rendelt összes EUs számára. Az igazolás egy adott típushoz vagy típushoz tanúsítvánnyal kapcsolatos aktuális üzleti kérdés nyilvános igazolása lehet, vagy egy olyan üzleti terv, amely rövid távon (a Főtanúsítványok Program által való terjesztésétől számított egy hónapon belül) a kibocsátás szándékát írja le.

  2. A Microsoft csak a következő ekusokat engedélyezi:

    1. Kiszolgálóhitelesítés =1.3.6.1.5.5.7.3.1
    2. Ügyfél-hitelesítés =1.3.6.1.5.5.7.3.2
    3. Biztonságos E-mail EKU=1.3.6.1.5.5.7.3.4
    4. Időbélyegző EKU=1.3.6.1.5.5.7.3.8
    5. Document Signing EKU=1.3.6.1.4.1.311.10.3.12
    • Ezt az EKU-t a dokumentumok aláírásához Office. A dokumentum-aláírás egyéb felhasználási módokon nem kötelező.

F. Windows 10 kernel módú kódalálá bejelentkezés követelményei

Windows 10 a rendszer magasabb követelményeket érvényesít a kernel módú illesztőprogramok ellenőrzéséhez. Az illesztőprogramokat a Microsoftnak és egy Programpartnernek is alá kell írnia a kiterjesztett érvényességi követelményeknek megfelelően. Minden fejlesztőnek, aki a saját kernel módú illesztőprogramját fel szeretné venni a Windows a Microsoft hardverfejlesztői csapatának eljárását kell követnie. A program dokumentációját itt találhatja meg.