Persyaratan Audit - Program Sertifikat Akar Tepercaya Microsoft

Halaman ini menetapkan persyaratan untuk Otoritas Sertifikasi (CA) yang berpartisipasi dalam Program Sertifikat Akar Tepercaya Microsoft ("Program") bersama dengan persyaratan untuk menggunakan masing-masing EKUs yang saat ini didukung Microsoft sebagai bagian dari Program Sertifikat Akar Tepercaya Microsoft.

Di bawah ini Anda akan menemukan persyaratan untuk CA Komersial dan CA Pemerintah bersama dengan informasi tentang apa yang merupakan CA Pemerintah. (Lihat "Definisi", di bawah). Selain itu, Anda akan menemukan informasi tentang bagaimana persyaratan berubah untuk CA Pemerintah.

Catatan

Bookmark halaman ini: https://aka.ms/auditreqs


Persyaratan Umum

Microsoft mengharuskan setiap CA mengirimkan bukti Audit Yang Memenuhi Syarat setiap tahun untuk CA dan akar yang tidak terbatas dalam rantai PKI-nya. Audit Yang Memenuhi Syarat harus memenuhi lima persyaratan utama berikut:

  1. auditor harus memenuhi syarat,
  2. audit harus dilakukan menggunakan cakupan yang tepat,
  3. audit harus dilakukan menggunakan standar yang tepat, dan
  4. audit harus dilakukan dan surat pengesahan harus dikeluarkan dalam jangka waktu yang tepat, dan
  5. auditor harus menyelesaikan dan mengirimkan Pengesahan yang Memenuhi Syarat.

Ca bertanggung jawab untuk memberi Microsoft Pengesahan yang Memenuhi Syarat untuk hasil audit serta kesesuaian dengan Persyaratan Audit secara tepat waktu.

J. Kualifikasi Auditor

Microsoft menganggap auditor sebagai Auditor Yang Memenuhi Syarat jika s/he adalah individu atau perusahaan independen yang disertifikasi untuk melakukan audit otoritas sertifikasi oleh salah satu dari tiga otoritas ini: (1) WebTrust, (2) Otoritas Nasional Setara ETSI (diterbitkan di https://aka.ms/ena) atau, (3) dalam kasus CA Pemerintah, pemerintah itu sendiri. (Untuk informasi selengkapnya tentang CA Pemerintah, lihat "Persyaratan CA Pemerintah" di bawah ini.)

Jika CA memilih untuk mendapatkan audit WebTrust, Microsoft mengharuskan CA mempertahankan auditor berlisensi WebTrust untuk melakukan audit. Daftar lengkap auditor berlisensi WebTrust tersedia di https://aka.ms/webtrustauditors. Jika CA memilih untuk mendapatkan audit berbasis ETSI, Microsoft mengharuskan CA untuk mempertahankan entitas resmi oleh Otoritas Nasional Yang Setara (atau "ENAs"). Katalog ENAs yang dapat diterima didasarkan pada daftar di https://aka.ms/ena. Jika CA dioperasikan di negara yang tidak memiliki Otoritas Nasional Setara ETSI, Microsoft akan menerima audit yang dilakukan oleh auditor yang memenuhi syarat di bawah Otoritas Nasional yang Setara di negara asal auditor.

B. Cakupan Audit

Cakupan audit harus mencakup semua akar, sub-akar yang tidak terbatas, dan akar non-terdaftar yang ditandatangani silang, di bawah akar, kecuali untuk sub-akar yang terbatas pada domain terverifikasi. Audit juga harus men dokumentasikan hierarki PKI lengkap. Pernyataan audit akhir harus berada di lokasi yang dapat diakses publik dan harus berisi tanggal mulai dan berakhir periode audit. Dalam kasus audit WebTrust, segel WebTrust juga harus berada di lokasi yang dapat diakses publik.

C. Penilaian Kesiapan Point-in-Time

Microsoft memerlukan audit sebelum memulai operasi komersial. Untuk CA komersial yang belum beroperasi sebagai penerbit sertifikat selama 90 hari atau lebih, Microsoft akan menerima audit kesiapan titik waktu yang dilakukan oleh Auditor Yang Memenuhi Syarat. Jika CA menggunakan audit kesiapan point-in-time, Microsoft memerlukan audit tindak lanjut dalam waktu 90 hari setelah CA mengeluarkan sertifikat pertamanya. CA komersial yang sudah ada dalam program kami yang mengajukan akar baru yang akan disertakan dikecualikan dari persyaratan audit titik waktu dan periode waktu untuk akar baru. Sebaliknya, mereka harus diperbarui pada audit untuk akar yang ada dalam program.

D. Periode Waktu Antara Penilaian dan Pengesahan Auditor

Microsoft mengharuskan CA mendapatkan audit yang sesuai setiap tahun. Untuk memastikan bahwa Microsoft memiliki informasi yang secara akurat mencerminkan praktik bisnis CA saat ini, surat pengesahan yang timbul dari audit harus ditanggalkan dan diterima oleh Microsoft tidak lebih dari 3 bulan sejak tanggal berakhir yang ditentukan dalam surat pengesahan.

E. Pengesahan Audit

Microsoft mengharuskan setiap auditor menyelesaikan dan mengirimkan ke Microsoft Pengesahan yang Memenuhi Syarat. Pengesahan yang Memenuhi Syarat mengharuskan auditor menyelesaikan Surat Pengesahan yang Memenuhi Syarat.

Microsoft menggunakan alat untuk mengurai surat audit secara otomatis untuk memvalidasi akurasi Surat Pengesahan yang Memenuhi Syarat. Alat ini ditemukan dalam Common Certification Authority Database (CCADB). Silakan bekerja sama dengan auditor Anda untuk memastikan Surat Pengesahan yang Memenuhi Syarat memenuhi persyaratan berikut. Jika surat audit gagal dalam salah satu kategori ini, email akan dikirim kembali ke CA yang meminta mereka untuk memperbarui surat audit mereka.

SEMUA CAS

  1. Surat audit harus ditulis dalam bahasa Inggris
  2. Surat audit harus dalam format PDF "Text Searchable".
  3. Surat audit harus memiliki nama auditor dalam surat audit seperti yang dicatat dalam CCADB.
  4. Surat audit harus mencantumkan thumbprint SHA1 atau thumbprint SHA256 dari akar yang diaudit.
  5. Surat audit harus mencantumkan tanggal surat audit ditulis.
  6. Surat audit harus menyatakan tanggal mulai dan berakhir periode yang diaudit. Harap dicatat bahwa ini bukan periode auditor berada di tempat.
  7. Surat audit harus menyertakan nama lengkap CA seperti yang dicatat dalam CCADB.
  8. Surat audit harus mencantumkan standar audit yang digunakan selama audit. Silakan referensikan panduan WebTrust/ETSI atau https://aka.ms/auditreqs dan cantumkan nama lengkap dan versi standar audit yang dirujuk.

CA mengirimkan audit Webtrust

  1. Audit yang dilakukan oleh auditor WebTrust bersertifikat harus memiliki surat audit yang diunggah ke https://cert.webtrust.org.

CA mengirimkan audit ETSI

  1. Audit yang dilakukan oleh auditor ETSI bersertifikat harus memiliki surat audit yang diunggah ke situs web auditor mereka. Jika auditor tidak memposting di situs web mereka, CA harus memberikan nama dan email auditor saat mengirimkan surat audit. Perwakilan Microsoft akan menghubungi auditor untuk memverifikasi keaslian surat.
  2. CA dapat mengirimkan audit dengan kebijakan EN 319 411-2 atau 411-2.

F. Pengajuan Audit

Untuk mengirimkan audit tahunan, silakan lihat instruksi CCADB tentang cara membuat kasus audit yang ditemukan di sini: https://ccadb.org/cas/updates.

Jika CA diterapkan ke Penyimpanan Akar dan tidak berada di CCADB, mereka harus mengirim email pengesahan audit mereka ke msroot@microsoft.com.


Standar Audit CA Konvensional

Program ini menerima dua jenis standar audit: WebTrust dan ETSI. Untuk setiap EKUs di sebelah kiri, Microsoft memerlukan audit yang sesuai dengan standar yang ditandai.

J. Audit WebTrust

Microsoft sekarang akan memerlukan Prinsip dan Kriteria Layanan Kepercayaan WebTrust untuk Otoritas Sertifikasi -- Penandatanganan Kode untuk setiap pernyataan audit dengan periode yang dimulai pada atau setelah 1 Januari 2018. Ini akan diperlukan untuk CA apa pun yang mengaktifkan EKU penandatanganan kode untuk akarnya. Jika CA mengaktifkan EKU penandatanganan kode pada root tetapi tidak secara aktif mengeluarkan sertifikat penandatanganan kode, mereka dapat menjangkau msroot@microsoft.com agar status EKU diatur ke "NotBefore."

Kriteria WebTrust untuk CA v2.1 Garis Besar SSL dengan Keamanan Jaringan v2.3 Extended Validation SSL v1.6.2 Extended Validation Code Signing v1.4.1 Sertifikat Penandatanganan Kode Tepercaya Publik v1.0.1
Autentikasi Server (Non-EV) X X
Autentikasi Server (non-EV) dan Autentikasi Klien saja X X
Autentikasi Server (EV) X X X
Autentikasi Server (EV) dan Autentikasi Klien saja X X X
Penandatanganan Kode EV X X
Penandatanganan Kode Non-EV dan Stempel Waktu X X
Email Aman (S/MIME) X
Autentikasi Klien (tanpa Autentikasi Server) X
Penandatanganan Dokumen X

B. Audit ETSI-Based

Catatan 1: Jika CA menggunakan audit berbasis ETSI, CA harus melakukan audit penuh setiap tahun, dan Microsoft tidak akan menerima audit pengawasan. Catatan 2: Semua pernyataan audit ETSI harus diaudit terhadap persyaratan Forum CA/Browser dan kepatuhan terhadap persyaratan ini harus dinyatakan dalam surat audit. ACAB'c [https://acab-c.com] telah memberikan panduan yang memenuhi persyaratan Microsoft.

Kriteria EN 319 411-1: Kebijakan DVCP, OVCP, atau PTC-BR EN 319 411-1: Kebijakan EVCP EN 319 411-2: Kebijakan QCP-w (berdasarkan EN 319 411-1, EVCP) EN 319 411-1: Kebijakan LCP, NCP, NCP+ EN 319 411-2: Kebijakan QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd (berdasarkan en 319 411-1, NCP/NCP+)
Autentikasi Server (Non-EV) X
Autentikasi Server (non-EV) dan Autentikasi Klien saja X
Autentikasi Server (EV) X
Autentikasi Server (EV) dan Autentikasi Klien saja X X
Penandatanganan Kode EV X X
Penandatanganan Kode Non-EV dan Stempel Waktu X X
Email Aman (S/MIME) X X
Autentikasi Klien (tanpa Autentikasi Server) X X
Penandatanganan Dokumen X X

Persyaratan CA Pemerintah

CA pemerintah dapat memilih untuk mendapatkan audit berbasis WebTrust atau ETSI di atas yang diperlukan CA Komersial, atau untuk menggunakan Audit yang Setara. Jika CA Pemerintah memilih untuk mendapatkan audit berbasis WebTrust atau ETSI, Microsoft akan memperlakukan CA Pemerintah sebagai CA Komersial. CA Pemerintah kemudian dapat beroperasi tanpa membatasi sertifikat yang menjadi masalahnya.

J. Pembatasan Audit yang Setara

Jika CA Pemerintah memilih untuk tidak menggunakan audit WebTrust atau ETSI, ca tersebut dapat memperoleh Audit yang Setara. Dalam Audit Setara ("EA"), CA Pemerintah memilih pihak ketiga untuk melakukan audit. Audit memiliki dua tujuan: (1) untuk menunjukkan bahwa CA Pemerintah mematuhi undang-undang dan peraturan setempat yang terkait dengan operasi otoritas sertifikat, dan (2) menunjukkan bahwa audit secara substansial sesuai dengan standar WebTrust atau ETSI yang relevan.

Jika CA Pemerintah memilih untuk mendapatkan EA, Microsoft akan membatasi cakupan sertifikat yang mungkin dikeluarkan CA Pemerintah. CA pemerintah yang menerbitkan sertifikat autentikasi server harus membatasi akar ke domain yang dikontrol pemerintah. Pemerintah harus membatasi penerbitan sertifikat lain ke kode negara ISO3166 yang memiliki kontrol berdaulat atas negara tersebut.

CA pemerintah juga harus menerima dan mengadopsi persyaratan dasar forum CAB yang sesuai untuk CA berdasarkan jenis sertifikat akar masalah. Namun, Persyaratan Program dan Persyaratan Audit menggantikan persyaratan tersebut dalam aspek apa pun yang bertentangan.

Semua CA Pemerintah yang memasuki Program akan tunduk pada persyaratan EA di atas. Semua CA Pemerintah yang merupakan bagian dari Program sebelum 1 Juni 2015 akan tunduk pada persyaratan EA di atas segera setelah kedaluwarsa audit mereka saat itu.

B. Isi Laporan Audit yang Setara

Microsoft mengharuskan semua CA Pemerintah yang mengirimkan EA untuk memberikan surat pengesahan dari auditor yang:

  1. Membuktikan bahwa audit dikeluarkan oleh lembaga independen yang diotorisasi oleh pemerintah CA Pemerintah untuk melakukan audit;
  2. Mencantumkan kriteria pemerintah CA Pemerintah untuk kualifikasi auditor, dan menyatakan bahwa auditor memenuhi kriteria ini;
  3. Mencantumkan undang-undang, aturan, dan/atau peraturan tertentu yang dinilai auditor terhadap operasi CA Pemerintah;
  4. Mensertifikasi kepatuhan CA Pemerintah terhadap persyaratan yang diuraikan dalam undang-undang, aturan, dan/atau peraturan yang mengatur secara bernama;
  5. Menyediakan informasi yang menjelaskan bagaimana persyaratan statuta setara dengan audit WebTrust atau ETSI yang sesuai;
  6. Mencantumkan Otoritas Sertifikat dan pihak ketiga yang diotorisasi oleh CA Pemerintah untuk menerbitkan sertifikat atas nama CA Pemerintah dalam rantai sertifikat;
  7. Dokumen hierarki PKI lengkap; Dan
  8. Menyediakan tanggal mulai dan berakhir periode audit.

Definisi

CA Pemerintah

"CA Pemerintah" adalah entitas yang menandatangani Perjanjian Program Pemerintah.

CA Komersial

"CA Komersial" adalah entitas yang menandatangani Perjanjian Program Komersial.

Otoritas Sertifikasi

"Otoritas Sertifikasi" atau "CA" berarti entitas yang mengeluarkan sertifikat digital sesuai dengan Undang-Undang dan Peraturan Setempat.

Hukum dan Peraturan Setempat

"Hukum dan Peraturan Setempat" berarti undang-undang dan peraturan yang berlaku untuk CA di mana CA berwenang untuk menerbitkan sertifikat digital, yang menetapkan kebijakan, aturan, dan standar yang berlaku untuk menerbitkan, memelihara, atau mencabut sertifikat, termasuk frekuensi dan prosedur audit.