Persyaratan Program - Program Akar Tepercaya Microsoft

1. Pendahuluan

Program Sertifikat Akar Microsoft mendukung distribusi sertifikat akar, memungkinkan pelanggan untuk mempercayai produk Windows. Halaman ini menjelaskan persyaratan umum dan teknis Program.

Catatan

2. Melanjutkan Persyaratan Program

Persyaratan Audit

  1. Peserta Program harus memberikan bukti kepada Microsoft tentang Audit Yang Memenuhi Syarat (lihat https://aka.ms/auditreqs) untuk setiap OS bawahan akar, tidak dibatasi, , dan sertifikat yang ditandatangani silang, sebelum melakukan operasi komersial dan setelahnya setiap tahun.
  2. Peserta Program harus bertanggung jawab untuk memastikan bahwa semua CA bawahan yang tidak dibatasi dan sertifikat yang ditandatangani silang memenuhi Persyaratan Audit Program.
  3. CA harus mengungkapkan semua laporan audit secara publik untuk CA subordinat yang tidak dibatasi.

Persyaratan Komunikasi dan Pengungkapan

  1. Peserta Program harus memberikan identitas setidaknya dua "Agen Tepercaya" kepada Microsoft untuk berfungsi sebagai perwakilan program dan satu alias email umum. Peserta Program harus memberi tahu Microsoft setelah penghapusan atau penambahan personel sebagai Agen Tepercaya. Peserta Program setuju untuk menerima pemberitahuan melalui email dan harus memberikan alamat email kepada Microsoft untuk menerima pemberitahuan resmi. Peserta Program harus menyetujui bahwa pemberitahuan berlaku saat Microsoft mengirim email atau surat resmi. Setidaknya salah satu kontak atau alias yang disediakan harus menjadi saluran komunikasi yang dipantau 24/7 untuk permintaan pencabutan atau situasi manajemen insiden lainnya.

  2. Peserta Program harus mengungkapkan hierarki PKI lengkapnya (OS subordinat tidak terbatas, CA akar non-terdaftar yang ditandatangani silang, CA bawahan, EKUs, batasan sertifikat) kepada Microsoft setiap tahun, termasuk sertifikat yang dikeluarkan untuk CA yang dioperasikan oleh pihak ketiga eksternal dalam CCADB. Peserta Program harus menjaga informasi ini tetap akurat dalam CCADB ketika perubahan terjadi. Jika CA subordinat tidak diungkapkan atau diaudit secara publik, CA tersebut harus dibatasi domainnya.

  3. Peserta Program harus memberi tahu Microsoft melalui email setidaknya 120 hari sebelum mentransfer kepemilikan OS akar atau bawahan terdaftar yang ditautkan ke akar terdaftar ke entitas atau orang lain.

  4. Kode Alasan harus disertakan dalam pencabutan sertifikat perantara. CA harus memperbarui CCADB saat mencabut sertifikat perantara dalam waktu 30 hari.

  5. Peserta Program setuju bahwa Microsoft dapat menghubungi pelanggan yang diyakini Microsoft mungkin terpengaruh secara substansial oleh penghapusan OS akar yang tertunda dari Program.

Persyaratan Lainnya

  1. CA Komersial mungkin tidak mendaftarkan OS akar ke dalam Program yang dimaksudkan untuk terutama dipercaya secara internal dalam organisasi (yaitu CA Perusahaan).

  2. Jika CA menggunakan subkontraktor untuk mengoperasikan aspek bisnisnya, CA akan bertanggung jawab atas operasi bisnis subkontraktor.

  3. Jika Microsoft, atas kebijakannya sendiri, mengidentifikasi sertifikat yang penggunaan atau atributnya ditentukan bertentangan dengan tujuan Program Akar Tepercaya, Microsoft akan memberi tahu CA yang bertanggung jawab dan memintanya mencabut sertifikat. CA harus mencabut sertifikat atau meminta pengecualian dari Microsoft dalam waktu 24 jam setelah menerima pemberitahuan Microsoft. Microsoft akan meninjau materi yang dikirimkan dan memberi tahu CA tentang keputusan akhirnya untuk memberikan atau menolak pengecualian atas kebijakannya sendiri. Jika Microsoft tidak memberikan pengecualian, CA harus mencabut sertifikat dalam waktu 24 jam setelah pengecualian ditolak.


3. Persyaratan Teknis Program

Semua CA dalam Program harus mematuhi Persyaratan Teknis Program. Jika Microsoft menentukan bahwa CA tidak mematuhi persyaratan di bawah ini, Microsoft akan mengecualikan CA tersebut dari Program.

J. Persyaratan Akar

  1. Sertifikat akar harus sertifikat x.509 v3.
    1. Atribut CN harus mengidentifikasi penerbit dan harus unik.
    2. Atribut CN harus dalam bahasa yang sesuai untuk pasar CA dan dapat dibaca oleh pelanggan biasa di pasar tersebut.
    3. Ekstensi Batasan Dasar: harus cA=true.
    4. Ekstensi Penggunaan Kunci HARUS ada dan HARUS ditandai penting. Posisi bit untuk KeyCertSign dan cRLSign HARUS diatur. Jika Kunci Privat CA Akar digunakan untuk menandatangani respons OCSP, maka bit digitalSignature HARUS diatur.
      • Ukuran Kunci Akar harus memenuhi persyaratan yang dirinci dalam "Persyaratan Utama".
  2. Sertifikat yang akan ditambahkan ke Penyimpanan Akar Tepercaya HARUS sertifikat akar yang ditandatangani sendiri.
  3. CA Akar yang baru dicetak harus berlaku selama minimal 8 tahun, dan maksimal 25 tahun, sejak tanggal pengiriman.
  4. CA Root yang berpartisipasi mungkin tidak mengeluarkan sertifikat RSA 1024-bit baru dari akar yang tercakup dalam persyaratan ini.
  5. Semua sertifikat entitas akhir harus berisi ekstensi AIA dengan URL OCSP yang valid. Sertifikat ini mungkin juga berisi ekstensi CDP yang berisi URL CRL yang valid. Semua jenis sertifikat lainnya harus berisi ekstensi AIA dengan URL OCSP atau ekstensi CDP dengan URL CRL yang valid
  6. Kunci Privat dan nama subjek harus unik per sertifikat akar; penggunaan kembali kunci privat atau nama subjek dalam sertifikat akar berikutnya oleh CA yang sama dapat mengakibatkan masalah penautan sertifikat yang tidak terduga. CA harus menghasilkan kunci baru dan menerapkan nama subjek baru saat membuat sertifikat akar baru sebelum didistribusikan oleh Microsoft.
  7. CA Pemerintah harus membatasi autentikasi server ke domain tingkat atas yang dikeluarkan pemerintah dan hanya dapat menerbitkan sertifikat lain ke kode negara ISO3166 yang dikuasai negara tersebut (lihat https://aka.ms/auditreqs bagian III untuk definisi "CA Pemerintah"). TLD yang dikeluarkan pemerintah ini disebut dalam kontrak masing-masing CA.
  8. Menerbitkan sertifikat CA yang menautkan ke CA Root yang berpartisipasi harus memisahkan penggunaan Autentikasi Server, S/MIME, Penandatanganan Kode, dan Penandatanganan Waktu. Ini berarti bahwa satu CA Penerbit tidak boleh menggabungkan autentikasi server dengan S/MIME, penandatanganan kode, atau EKU penandatanganan waktu. Perantara terpisah harus digunakan untuk setiap kasus penggunaan.
  9. Sertifikat entitas akhir harus memenuhi persyaratan untuk jenis algoritma dan ukuran kunci untuk sertifikat Pelanggan yang tercantum dalam Lampiran A dari Persyaratan Garis Besar Forum CAB yang terletak di https://cabforum.org/baseline-requirements-documents/.
  10. CA harus mendeklarasikan salah satu OID kebijakan berikut dalam sertifikat entitas akhir ekstensi Kebijakan Sertifikat:
    1. DV 2.23.140.1.2.1
    2. OV 2.23.140.1.2.2
    3. EV 2.23.140.1.1.
    4. IV 2.23.140.1.2.3
    5. Penandatanganan Kode EV 2.23.140.1.3
    6. Penandatanganan Kode Non-EV 2.23.140.1.4.1
  11. Sertifikat entitas akhir yang menyertakan ekstensi Batasan Dasar sesuai dengan IETF RFC 5280 harus memiliki bidang cA yang diatur ke FALSE dan bidang pathLenConstraint harus tidak ada.
  12. CA harus secara teknis membatasi responden OCSP sehingga satu-satunya EKU yang diizinkan adalah Penandatanganan OCSP.
  13. CA harus dapat mencabut sertifikat ke tanggal tertentu seperti yang diminta oleh Microsoft.

B. Persyaratan Tanda Tangan

Algoritma Semua Penggunaan Kecuali untuk Penandatanganan Kode dan Penandatanganan Waktu Penandatanganan Kode dan Penggunaan Penandatanganan Waktu
Algoritma Hash SHA2 (SHA256, SHA384, SHA512) SHA2 (SHA256, SHA384, SHA512)
RSA 2048 4096 (Hanya akar baru)
ECC / ECDSA NIST P-256, P-384, P-521 NIST P-256, P-384, P-521

C. Persyaratan Pencabutan

  1. CA harus memiliki kebijakan pencabutan yang didokumenkan dan harus memiliki kemampuan untuk mencabut sertifikat apa pun yang dikeluarkannya.
  2. CA yang menerbitkan sertifikat Autentikasi Server harus mendukung persyaratan responden OCSP berikut:
    1. Masa berlaku minimum delapan (8) jam; Masa berlaku maksimum tujuh (7) hari; Dan
    2. Pembaruan berikutnya harus tersedia setidaknya delapan (8) jam sebelum periode saat ini berakhir. Jika validitas lebih dari 16 jam, pembaruan berikutnya harus tersedia pada 1/2 periode validitas.
  3. Semua sertifikat yang dikeluarkan dari CA akar harus mendukung ekstensi titik distribusi CRL dan/atau AIA yang berisi URL responder OCSP.
  4. CA tidak boleh menggunakan sertifikat akar untuk menerbitkan sertifikat entitas akhir.
  5. Jika CA mengeluarkan sertifikat Penandatanganan Kode, CA harus menggunakan Otoritas Stempel Waktu yang mematuhi RFC 3161, "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)."

D. Persyaratan Sertifikat Akar Penandatanganan Kode

  1. Sertifikat akar yang mendukung penggunaan penandatanganan kode dapat dihapus dari distribusi oleh Program 10 tahun sejak tanggal distribusi sertifikat akar rollover pengganti atau lebih cepat, jika diminta oleh CA.
  2. Sertifikat akar yang tetap dalam distribusi untuk hanya mendukung penggunaan penandatanganan kode di luar masa pakai keamanan algoritma mereka (misalnya RSA 1024 = 2014, RSA 2048 = 2030) dapat diatur ke 'nonaktifkan' di OS Windows 10.

E. Persyaratan EKU

  1. CA harus memberikan pembenaran bisnis untuk semua EKUs yang ditetapkan ke sertifikat akar mereka. Pembenaran dapat berupa bukti publik tentang bisnis penerbitan sertifikat jenis atau jenis saat ini, atau rencana bisnis yang menunjukkan niat untuk menerbitkan sertifikat tersebut dalam jangka waktu dekat (dalam satu tahun distribusi sertifikat akar oleh Program).

  2. Microsoft hanya akan mengaktifkan EKUs berikut:

    1. Autentikasi Server =1.3.6.1.5.5.7.3.1
    2. Autentikasi Klien =1.3.6.1.5.5.7.3.2
    3. EKU Email Aman=1.3.6.1.5.5.7.3.4
    4. Stempel waktu EKU=1.3.6.1.5.5.7.3.8
    5. Penandatanganan Dokumen EKU=1.3.6.1.4.1.311.10.3.12
    • EKU ini digunakan untuk menandatangani dokumen dalam Office. Ini tidak diperlukan untuk penggunaan penandatanganan dokumen lainnya.

F. Windows 10 Persyaratan Penandatanganan Kode Mode Kernel (KMCS)

Windows 10 memiliki persyaratan yang lebih tinggi untuk memvalidasi driver mode kernel. Driver harus ditandatangani oleh Microsoft dan mitra Program menggunakan persyaratan Validasi yang Diperpanjang. Semua pengembang yang ingin memiliki driver mode kernel mereka yang disertakan dalam Windows harus mengikuti prosedur yang diuraikan oleh Tim Pengembangan Perangkat Keras Microsoft. Dokumentasi program dapat ditemukan di sini