Persyaratan Audit - Program Sertifikat Akar Tepercaya Microsoft
Halaman ini menetapkan persyaratan untuk Otoritas Sertifikasi (CA) yang berpartisipasi dalam Program Sertifikat Akar Tepercaya Microsoft ("Program") bersama dengan persyaratan untuk menggunakan masing-masing EKUs yang saat ini didukung Microsoft sebagai bagian dari Program Sertifikat Akar Tepercaya Microsoft.
Di bawah ini Anda akan menemukan persyaratan untuk CA Komersial dan CA Pemerintah bersama dengan informasi tentang apa yang merupakan CA Pemerintah. (Lihat "Definisi", di bawah). Selain itu, Anda akan menemukan informasi tentang bagaimana persyaratan berubah untuk CA Pemerintah.
Catatan
Marka buku halaman ini: https://aka.ms/auditreqs
Persyaratan Umum
Microsoft mengharuskan setiap CA mengirimkan bukti Audit Yang Memenuhi Syarat setiap tahun untuk CA dan akar yang tidak terbatas dalam rantai PKI-nya. Audit Yang Memenuhi Syarat harus memenuhi lima persyaratan utama berikut:
- auditor harus memenuhi syarat,
- audit harus dilakukan menggunakan cakupan yang tepat,
- audit harus dilakukan menggunakan standar yang tepat, dan
- audit harus dilakukan dan surat pengesahan harus dikeluarkan dalam jangka waktu yang tepat, dan
- auditor harus menyelesaikan dan mengirimkan Pengesahan yang Memenuhi Syarat.
Merupakan tanggung jawab CA untuk memberi Microsoft Pengesahan yang Memenuhi Syarat untuk hasil audit serta kesesuaian dengan Persyaratan Audit secara tepat waktu.
J. Kualifikasi Auditor
Microsoft menganggap auditor sebagai Auditor Yang Memenuhi Syarat jika s/he adalah individu atau perusahaan independen yang disertifikasi untuk melakukan audit otoritas sertifikasi oleh salah satu dari tiga otoritas ini: (1) WebTrust, (2) Otoritas Nasional Setara ETSI (diterbitkan di https://aka.ms/ena) atau, (3) dalam kasus CA Pemerintah, pemerintah itu sendiri. (Untuk informasi selengkapnya tentang CA Pemerintah, lihat "Persyaratan CA Pemerintah" di bawah ini.)
Jika CA memilih untuk mendapatkan audit WebTrust, Microsoft mengharuskan CA mempertahankan auditor berlisensi WebTrust untuk melakukan audit. Daftar lengkap auditor berlisensi WebTrust tersedia di https://aka.ms/webtrustauditors. Jika CA memilih untuk mendapatkan audit berbasis ETSI, Microsoft mengharuskan CA untuk mempertahankan entitas yang berwenang oleh Otoritas Nasional Setara (atau "ENAs"). Katalog ENAs yang dapat diterima didasarkan pada daftar di https://aka.ms/ena. Jika CA dioperasikan di negara yang tidak memiliki Otoritas Nasional Setara ETSI, Microsoft akan menerima audit yang dilakukan oleh auditor yang memenuhi syarat di bawah Otoritas Nasional yang setara di negara asal auditor.
B. Cakupan Audit
Cakupan audit harus mencakup semua akar, sub-akar yang tidak terbatas, dan akar non-terdaftar yang ditandatangani silang, di bawah akar, kecuali untuk sub-akar yang terbatas pada domain terverifikasi. Audit juga harus mendokumen hierarki PKI lengkap. Pernyataan audit akhir harus berada di lokasi yang dapat diakses publik dan harus berisi tanggal mulai dan berakhir periode audit. Dalam kasus audit WebTrust, segel WebTrust juga harus berada di lokasi yang dapat diakses publik.
C. Penilaian Kesiapan Point-in-Time
Microsoft memerlukan audit sebelum memulai operasi komersial. Untuk CA komersial yang belum beroperasi sebagai penerbit sertifikat selama 90 hari atau lebih, Microsoft akan menerima audit kesiapan point-in-time yang dilakukan oleh Auditor Yang Memenuhi Syarat. Jika CA menggunakan audit kesiapan point-in-time, Microsoft memerlukan audit tindak lanjut dalam waktu 90 hari setelah CA mengeluarkan sertifikat pertamanya. CA komersial yang sudah ada dalam program kami yang mengajukan akar baru untuk disertakan dikecualikan dari persyaratan audit titik waktu dan periode waktu untuk akar baru. Sebaliknya, mereka harus diperbarui pada audit untuk akar yang ada dalam program.
D. Periode Waktu Antara Penilaian dan Pengesahan Auditor
Microsoft mengharuskan CA mendapatkan audit yang sesuai setiap tahun. Untuk memastikan bahwa Microsoft memiliki informasi yang secara akurat mencerminkan praktik bisnis OS saat ini, surat pengesahan yang timbul dari audit harus ditanggalkan dan diterima oleh Microsoft tidak lebih dari 3 bulan sejak tanggal berakhir yang ditentukan dalam surat pengesahan.
E. Pengesahan Audit
Microsoft mengharuskan setiap auditor menyelesaikan dan mengirimkan ke Microsoft Pengesahan yang Memenuhi Syarat. Pengesahan yang Memenuhi Syarat mengharuskan auditor menyelesaikan Surat Pengesahan yang Memenuhi Syarat.
Microsoft menggunakan alat untuk mengurai surat audit secara otomatis untuk memvalidasi akurasi Surat Pengesahan yang Memenuhi Syarat. Alat ini ditemukan di Common Certification Authority Database (CCADB). Silakan bekerja sama dengan auditor Anda untuk memastikan Surat Pengesahan yang Memenuhi Syarat memenuhi persyaratan berikut. Jika surat audit gagal dalam salah satu kategori ini, email akan dikirim kembali ke CA yang meminta mereka untuk memperbarui surat audit mereka.
SEMUA CAS
- Surat audit harus ditulis dalam bahasa Inggris
- Huruf audit harus dalam format PDF "Text Searchable".
- Surat audit harus memiliki nama auditor dalam surat audit seperti yang dicatat dalam CCADB.
- Surat audit harus mencantumkan thumbprint SHA1 atau sidik jari SHA256 dari akar yang diaudit.
- Surat audit harus mencantumkan tanggal surat audit ditulis.
- Surat audit harus menyatakan tanggal mulai dan berakhir periode yang diaudit. Harap dicatat bahwa ini bukan periode auditor berada di lokasi.
- Surat audit harus menyertakan nama lengkap CA seperti yang dicatat dalam CCADB.
- Surat audit harus mencantumkan standar audit yang digunakan selama audit. Silakan referensikan panduan WebTrust/ETSI atau https://aka.ms/auditreqs dan cantumkan nama lengkap dan versi standar audit yang dirujuk.
CA mengirimkan audit Webtrust
- Audit yang dilakukan oleh auditor WebTrust bersertifikat harus memiliki surat audit yang diunggah ke https://cert.webtrust.org.
CA mengirimkan audit ETSI
- Audit yang dilakukan oleh auditor ETSI bersertifikat harus memiliki surat audit yang diunggah ke situs web auditor mereka. Jika auditor tidak memposting di situs web mereka, CA harus memberikan nama dan email auditor saat mengirimkan surat audit. Perwakilan Microsoft akan menghubungi auditor untuk memverifikasi keaslian surat.
- CA dapat mengirimkan audit dengan kebijakan EN 319 411-2 atau 411-2.
F. Pengajuan Audit
Untuk mengirimkan audit tahunan, silakan lihat instruksi CCADB tentang cara membuat kasus audit yang ditemukan di sini: https://ccadb.org/cas/updates.
Jika CA berlaku ke Penyimpanan Akar dan tidak berada di CCADB, mereka harus mengirim email pengesahan audit mereka ke msroot@microsoft.com.
Audit Standar CA Konvensional
Program menerima dua jenis standar audit: WebTrust dan ETSI. Untuk setiap EKUs di sebelah kiri, Microsoft memerlukan audit yang sesuai dengan standar yang ditandai.
Harap Dicatat: Mulai Februari 2024, penyedia CA harus memastikan CA root yang diaktifkan S/MIME dan semua CA subordinat yang mampu menerbitkan sertifikat S/MIME telah dan akan terus diaudit terhadap versi terbaru, minimal, salah satu set kriteria di bawah ini.
- Prinsip dan Kriteria WebTrust untuk Otoritas Sertifikasi – S/MIME
- ETSI EN 119 411-6 LCP, NCP, atau NCP+
J. Audit WebTrust
Microsoft sekarang akan memerlukan Prinsip dan Kriteria WebTrust Trust Services untuk Otoritas Sertifikasi -- Penandatanganan Kode untuk pernyataan audit apa pun dengan periode yang dimulai pada atau setelah 1 Januari 2018. Ini akan diperlukan untuk CA apa pun yang mengaktifkan EKU penandatanganan kode untuk root mereka. Jika CA mengaktifkan EKU penandatanganan kode pada root tetapi tidak secara aktif mengeluarkan sertifikat penandatanganan kode, mereka mungkin menjangkau msroot@microsoft.com agar status EKU diatur ke "NotBefore."
| Kriteria | WebTrust untuk CA v2.1 | Garis Besar SSL dengan Keamanan Jaringan v2.3 | Extended Validation SSL v1.6.2 | Penandatanganan Kode Validasi yang Diperluas v1.4.1 | Sertifikat Penandatanganan Kode Tepercaya Publik v1.0.1 | Prinsip dan Kriteria WebTrust untuk Otoritas Sertifikasi – S/MIME |
|---|---|---|---|---|---|---|
| Autentikasi Server (Non-EV) | X | X | ||||
| Autentikasi Server (non-EV) dan Autentikasi Klien saja | X | X | ||||
| Autentikasi Server (EV) | X | X | X | |||
| Autentikasi Server (EV) dan Autentikasi Klien saja | X | X | X | |||
| Penandatanganan Kode EV | X | X | ||||
| Penandatanganan Kode Non-EV dan Stempel Waktu | X | X | ||||
| Email Aman (S/MIME) | X | X | ||||
| Autentikasi Klien (tanpa Autentikasi Server) | X | |||||
| Penandatanganan Dokumen | X |
B. Audit Berbasis ETSI
Catatan 1: Jika CA menggunakan audit berbasis ETSI, ca harus melakukan audit penuh setiap tahun, dan Microsoft tidak akan menerima audit pengawasan. Catatan 2: Semua pernyataan audit ETSI harus diaudit terhadap persyaratan Forum CA/Browser dan kepatuhan terhadap persyaratan ini harus dinyatakan dalam surat audit. ACAB'c [https://acab-c.com] telah memberikan panduan yang memenuhi persyaratan Microsoft.
| Kriteria | EN 319 411-1: Kebijakan DVCP, OVCP, atau PTC-BR | EN 319 411-1: Kebijakan EVCP | EN 319 411-2: Kebijakan QCP-w (berdasarkan EN 319 411-1, EVCP) | EN 319 411-1: Kebijakan LCP, NCP, NCP+ | EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd policy (berdasarkan en 319 411-1, NCP/NCP+) | EN 119 411-6: LCP, NCP, atau NCP+ |
|---|---|---|---|---|---|---|
| Autentikasi Server (Non-EV) | X | |||||
| Autentikasi Server (non-EV) dan Autentikasi Klien saja | X | |||||
| Autentikasi Server (EV) | X | |||||
| Autentikasi Server (EV) dan Autentikasi Klien saja | X | X | ||||
| Penandatanganan Kode EV | X | X | ||||
| Penandatanganan Kode Non-EV dan Stempel Waktu | X | X | ||||
| Email Aman (S/MIME) | X | X | X | |||
| Autentikasi Klien (tanpa Autentikasi Server) | X | X | ||||
| Penandatanganan Dokumen | X | X |
Persyaratan CA Pemerintah
CA Pemerintah dapat memilih untuk mendapatkan audit berbasis WebTrust atau ETSI di atas yang diperlukan dari CA Komersial, atau untuk menggunakan Audit yang Setara. Jika CA Pemerintah memilih untuk mendapatkan audit berbasis WebTrust atau ETSI, Microsoft akan memperlakukan CA Pemerintah sebagai CA Komersial. CA Pemerintah kemudian dapat beroperasi tanpa membatasi sertifikat yang menjadi masalahnya.
J. Pembatasan Audit yang Setara
Jika CA Pemerintah memilih untuk tidak menggunakan audit WebTrust atau ETSI, ia dapat memperoleh Audit yang Setara. Dalam Audit Setara ("EA"), CA Pemerintah memilih pihak ketiga untuk melakukan audit. Audit memiliki dua tujuan: (1) untuk menunjukkan bahwa CA Pemerintah mematuhi hukum dan peraturan setempat yang terkait dengan operasi otoritas sertifikat, dan (2) untuk menunjukkan bahwa audit secara substansial mematuhi standar WebTrust atau ETSI yang relevan.
Jika CA Pemerintah memilih untuk mendapatkan EA, Microsoft akan membatasi cakupan sertifikat yang mungkin dikeluarkan OLEH CA Pemerintah. CA pemerintah yang menerbitkan sertifikat autentikasi server harus membatasi akar ke domain yang dikontrol pemerintah. Pemerintah harus membatasi penerbitan sertifikat lain untuk ISO3166 kode negara yang memiliki kontrol berdaulat atas negara tersebut.
CA Pemerintah juga harus menerima dan mengadopsi persyaratan dasar forum CAB yang sesuai untuk CA berdasarkan jenis sertifikat yang menjadi akar masalah. Namun, Persyaratan Program dan Persyaratan Audit menggantikan persyaratan tersebut dalam aspek apa pun di mana persyaratan tersebut bertentangan.
Semua CA Pemerintah yang memasuki Program akan tunduk pada persyaratan EA di atas. Semua CA Pemerintah yang merupakan bagian dari Program sebelum 1 Juni 2015 akan tunduk pada persyaratan EA di atas segera setelah kedaluwarsa audit mereka saat itu.
B. Isi Laporan Audit yang Setara
Microsoft mengharuskan semua CA Pemerintah yang mengirimkan EA untuk memberikan surat pengesahan dari auditor yang:
- Membuktikan bahwa audit dikeluarkan oleh lembaga independen yang diotorisasi oleh pemerintah CA Pemerintah untuk melakukan audit;
- Mencantumkan kriteria pemerintah CA Pemerintah untuk kualifikasi auditor, dan menyatakan bahwa auditor memenuhi kriteria ini;
- Mencantumkan undang-undang, aturan, dan/atau peraturan tertentu yang dinilai auditor terhadap operasi CA Pemerintah;
- Mensertifikasi kepatuhan CA Pemerintah terhadap persyaratan yang diuraikan dalam undang-undang, aturan, dan/atau peraturan yang mengatur bernama;
- Menyediakan informasi yang menjelaskan bagaimana persyaratan statute setara dengan audit WebTrust atau ETSI yang sesuai;
- Mencantumkan Otoritas Sertifikat dan pihak ketiga yang diotorisasi oleh CA Pemerintah untuk menerbitkan sertifikat atas nama CA Pemerintah dalam rantai sertifikat;
- Dokumen hierarki PKI lengkap; Dan
- Menyediakan tanggal mulai dan berakhir periode audit.
Definisi
CA Pemerintah
"CA Pemerintah" adalah entitas yang menandatangani Perjanjian Program Pemerintah.
CA Komersial
"CA Komersial" adalah entitas yang menandatangani Perjanjian Program Komersial.
Otoritas Sertifikasi
"Otoritas Sertifikasi" atau "CA" berarti entitas yang menerbitkan sertifikat digital sesuai dengan Hukum dan Peraturan Setempat.
Hukum dan Peraturan Setempat
"Hukum dan Peraturan Setempat" berarti undang-undang dan peraturan yang berlaku untuk CA di mana CA berwenang untuk menerbitkan sertifikat digital, yang menetapkan kebijakan, aturan, dan standar yang berlaku untuk menerbitkan, memelihara, atau mencabut sertifikat, termasuk frekuensi dan prosedur audit.