Persyaratan Program - Program Akar Tepercaya Microsoft

1. Pendahuluan

Program Sertifikat Akar Microsoft mendukung distribusi sertifikat akar, memungkinkan pelanggan untuk mempercayai produk Windows. Halaman ini menjelaskan persyaratan umum dan teknis Program.

Catatan

• Untuk informasi tentang pembaruan terbaru yang dikirim, silakan lihat https://aka.ms/rootupdates
• Tandai halaman ini sebagai: https://aka.ms/RootCert

2. Persyaratan Program Berkelanjutan

Persyaratan Audit

1. Peserta Program harus memberikan bukti Kepada Microsoft tentang Audit Yang Memenuhi Syarat (lihat https://aka.ms/auditreqs) untuk setiap CA bawahan akar, tidak dibatasi, , dan sertifikat yang ditandatangani silang, sebelum melakukan operasi komersial dan setelahnya setiap tahun.
2. Peserta Program harus bertanggung jawab untuk memastikan bahwa semua CA bawahan yang tidak dibatasi dan sertifikat yang ditandatangani silang memenuhi Persyaratan Audit Program.
3. CA harus mengungkapkan semua laporan audit secara publik untuk CA subordinat yang tidak dibatasi.
4. Penyedia CA harus memastikan CA akar yang diaktifkan S/MIME dan semua CA subordinat yang mampu menerbitkan sertifikat S/MIME telah dan akan terus diaudit terhadap versi terbaru, minimal, salah satu set kriteria di bawah ini. Audit ini harus terjadi setidaknya setahun sekali. Periode audit awal harus dimulai seingat 1 September 2023.
   
   • Prinsip dan Kriteria WebTrust untuk Otoritas Sertifikasi – S/MIME
     
   • ETSI EN 119 411-6 LCP, NCP, atau NCP+
     

Persyaratan Komunikasi dan Pengungkapan

4. Peserta Program harus memberikan identitas setidaknya dua "Agen Tepercaya" kepada Microsoft untuk berfungsi sebagai perwakilan program dan satu alias email umum. Peserta Program harus memberi tahu Microsoft setelah penghapusan atau penambahan personel sebagai Agen Tepercaya. Peserta Program setuju untuk menerima pemberitahuan melalui email dan harus memberikan alamat email kepada Microsoft untuk menerima pemberitahuan resmi. Peserta Program harus setuju bahwa pemberitahuan berlaku ketika Microsoft mengirim email atau surat resmi. Setidaknya salah satu kontak atau alias yang disediakan harus menjadi saluran komunikasi yang dipantau 24/7 untuk permintaan pencabutan atau situasi manajemen insiden lainnya.

5. Peserta Program harus mengungkapkan hierarki PKI lengkapnya (CA subordinat non-terbatas, CA akar non-terdaftar yang ditandatangani silang, CA subordinat, EKUs, batasan sertifikat) kepada Microsoft setiap tahun, termasuk sertifikat yang dikeluarkan untuk CA yang dioperasikan oleh pihak ketiga eksternal dalam CCADB. Peserta Program harus menjaga informasi ini tetap akurat di CCADB ketika perubahan terjadi. Jika CA subordinat tidak diungkapkan secara publik atau diaudit, ca tersebut harus dibatasi domainnya.

6. Peserta Program harus memberi tahu Microsoft melalui email setidaknya 120 hari sebelum mentransfer kepemilikan CA akar terdaftar atau bawahan yang dirantai ke akar terdaftar ke entitas atau orang lain.

7. Kode Alasan harus disertakan dalam pencabutan untuk sertifikat perantara. CA harus memperbarui CCADB saat mencabut sertifikat perantara dalam waktu 30 hari.

8. Peserta Program setuju bahwa Microsoft dapat menghubungi pelanggan yang diyakini Microsoft mungkin terpengaruh secara substansial oleh penghapusan CA akar yang tertunda dari Program.

Persyaratan Lainnya

9. CA komersial mungkin tidak mendaftarkan CA akar ke dalam Program yang dimaksudkan untuk terutama dipercaya secara internal dalam organisasi (yaitu CA Perusahaan).

10. Jika CA menggunakan subkontraktor untuk mengoperasikan aspek bisnisnya, CA akan bertanggung jawab atas operasi bisnis subkontraktor.

11. Jika Microsoft, atas kebijakannya sendiri, mengidentifikasi sertifikat yang penggunaan atau atributnya ditentukan bertentangan dengan tujuan Program Akar Tepercaya, Microsoft akan memberi tahu CA yang bertanggung jawab dan memintanya mencabut sertifikat. CA harus mencabut sertifikat atau meminta pengecualian dari Microsoft dalam waktu 24 jam setelah menerima pemberitahuan Microsoft. Microsoft akan meninjau materi yang dikirimkan dan memberi tahu CA tentang keputusan akhirnya untuk memberikan atau menolak pengecualian atas kebijakannya sendiri. Jika Microsoft tidak memberikan pengecualian, CA harus mencabut sertifikat dalam waktu 24 jam setelah pengecualian ditolak.

---

3. Persyaratan Teknis Program

Semua CA dalam Program harus mematuhi Persyaratan Teknis Program. Jika Microsoft menentukan bahwa CA tidak mematuhi persyaratan di bawah ini, Microsoft akan mengecualikan CA tersebut dari Program.

J. Persyaratan Akar

1. Sertifikat akar harus sertifikat x.509 v3.
   1. Atribut CN harus mengidentifikasi penerbit dan harus unik.
   2. Atribut CN harus dalam bahasa yang sesuai untuk pasar CA dan dapat dibaca oleh pelanggan biasa di pasar tersebut.
   3. Ekstensi Batasan Dasar: harus cA=true.
   4. Ekstensi Penggunaan Kunci HARUS ada dan HARUS ditandai penting. Posisi bit untuk KeyCertSign dan cRLSign HARUS diatur. Jika Kunci Privat CA Akar digunakan untuk menandatangani respons OCSP, maka bit digitalSignature HARUS diatur.
      • Ukuran Kunci Akar harus memenuhi persyaratan yang dirinci dalam "Persyaratan Utama."
2. Sertifikat yang akan ditambahkan ke Penyimpanan Akar Tepercaya HARUS berupa sertifikat akar yang ditandatangani sendiri.
3. CA Akar yang baru ditambang harus berlaku selama minimal delapan tahun, dan maksimal 25 tahun, sejak tanggal pengiriman.
4. CA Root yang berpartisipasi mungkin tidak mengeluarkan sertifikat RSA 1024-bit baru dari akar yang tercakup dalam persyaratan ini.
5. Semua sertifikat entitas akhir harus berisi ekstensi AIA dengan URL OCSP yang valid. Sertifikat ini mungkin juga berisi ekstensi CDP yang berisi URL CRL yang valid. Semua jenis sertifikat lainnya harus berisi ekstensi AIA dengan URL OCSP atau ekstensi CDP dengan URL CRL yang valid
6. Kunci Privat dan nama subjek harus unik per sertifikat akar; penggunaan kembali kunci privat atau nama subjek dalam sertifikat akar berikutnya oleh CA yang sama dapat mengakibatkan masalah penautan sertifikat yang tidak terduga. CA harus menghasilkan kunci baru dan menerapkan nama subjek baru saat membuat sertifikat akar baru sebelum distribusi oleh Microsoft.
7. CA Pemerintah harus membatasi autentikasi server ke domain tingkat atas yang dikeluarkan pemerintah dan hanya dapat menerbitkan sertifikat lain ke kode negara ISO3166 bahwa negara memiliki kontrol berdaulat atas (lihat https://aka.ms/auditreqs bagian III untuk definisi "CA Pemerintah"). TLD yang dikeluarkan pemerintah ini disebut dalam kontrak masing-masing CA.
8. Menerbitkan sertifikat CA yang menautkan ke CA Akar yang berpartisipasi harus memisahkan penggunaan Autentikasi Server, S/MIME, Penandatanganan Kode, dan Stempel Waktu. Ini berarti bahwa SATU CA Penerbitan tidak boleh menggabungkan autentikasi server dengan S/MIME, penandatanganan kode, atau EKU stempel waktu. Perantara terpisah harus digunakan untuk setiap kasus penggunaan.
9. Sertifikat entitas akhir harus memenuhi persyaratan untuk jenis algoritma dan ukuran kunci untuk sertifikat Pelanggan yang tercantum dalam Lampiran A dari Persyaratan Garis Besar Forum CAB yang terletak di https://cabforum.org/baseline-requirements-documents/.
10. CA harus mendeklarasikan salah satu OID kebijakan berikut dalam sertifikat entitas akhir ekstensi Kebijakan Sertifikatnya.
    1. DV 2.23.140.1.2.1.
    2. OV 2.23.140.1.2.2.
    3. EV 2.23.140.1.1.
    4. IV 2.23.140.1.2.3.
    5. Penandatanganan Kode Non-EV 2.23.140.1.4.1.
11. Mulai Agustus 2024, semua OID EV SSL kustom yang dikelola oleh Program Akar Tepercaya dan alat masing-masing akan dihapus dan diganti dengan EV SSL OID yang mematuhi CA/B Forum (2.23.140.1.1). Tim Microsoft Edge akan menerapkan pemeriksaan untuk EV SSL OID (2.23.140.1.1) di browser, sehingga OID EV SSL lainnya tidak akan lagi diterima untuk selaras dengan Edge dan untuk menghindari ketidaksesuaian.
12. CA mungkin tidak memiliki lebih dari 2 OID yang diterapkan ke sertifikat akarnya.
13. Sertifikat entitas akhir yang menyertakan ekstensi Batasan Dasar sesuai dengan IETF RFC 5280 harus mengatur bidang cA ke FALSE dan bidang pathLenConstraint harus tidak ada.
14. CA harus secara teknis membatasi responden OCSP sehingga satu-satunya EKU yang diizinkan adalah Penandatanganan OCSP.
15. CA harus dapat mencabut sertifikat ke tanggal tertentu seperti yang diminta oleh Microsoft.

B. Persyaratan Tanda Tangan

Algoritma	Semua Penggunaan Kecuali untuk Penandatanganan Kode dan Stempel Waktu	Penandatanganan Kode dan Penggunaan Stempel Waktu
Algoritma Hash	SHA2 (SHA256, SHA384, SHA512)	SHA2 (SHA256, SHA384, SHA512)
RSA	2048	4096 (Hanya akar baru)
ECC / ECDSA	NIST P-256, P-384, P-521	NIST P-256, P-384, P-521

Harap Dicatat: Tanda tangan yang menggunakan kriptografi kurva elips (ECC), seperti ECDSA, tidak didukung di fitur keamanan Windows dan Windows yang lebih baru. Pengguna yang menggunakan algoritma dan sertifikat ini akan menghadapi berbagai kesalahan dan potensi risiko keamanan. Program Akar Tepercaya Microsoft merekomendasikan bahwa sertifikat ECC/ECDSA tidak boleh dikeluarkan untuk pelanggan karena ketidaksesuaian dan risiko yang diketahui ini.

C. Persyaratan Pencabutan

1. CA harus memiliki kebijakan pencabutan yang didokumenkan dan harus memiliki kemampuan untuk mencabut sertifikat apa pun yang menjadi masalahnya.
2. CA yang menerbitkan sertifikat Autentikasi Server harus mendukung kedua persyaratan responden OCSP berikut:
   1. Validitas minimum delapan (8) jam; validitas maksimum tujuh (7) hari.
   2. Pembaruan berikutnya harus tersedia setidaknya delapan (8) jam sebelum periode saat ini kedaluwarsa. Jika validitas lebih dari 16 jam, pembaruan berikutnya harus tersedia pada 1/2 periode validitas.
3. Semua sertifikat yang dikeluarkan dari CA akar harus mendukung ekstensi titik distribusi CRL dan/atau AIA yang berisi URL responden OCSP.
4. CA tidak boleh menggunakan sertifikat akar untuk menerbitkan sertifikat entitas akhir.
5. Jika CA mengeluarkan sertifikat Penandatanganan Kode, itu harus menggunakan Otoritas Stempel Waktu yang mematuhi RFC 3161, "Protokol Tanda Waktu Infrastruktur Kunci Umum (TSP) Internet X.509.

D. Persyaratan Sertifikat Akar Penandatanganan Kode

1. Sertifikat akar yang mendukung penggunaan penandatanganan kode dapat dihapus dari distribusi oleh Program 10 tahun sejak tanggal distribusi sertifikat akar rollover penggantian atau lebih cepat, jika diminta oleh CA.
2. Sertifikat akar yang tetap dalam distribusi untuk hanya mendukung penggunaan penandatanganan kode di luar masa pakai keamanan algoritma mereka (misalnya RSA 1024 = 2014, RSA 2048 = 2030) dapat diatur ke 'nonaktifkan' di OS Windows 10.
3. Mulai Februari 2024, Microsoft tidak akan lagi menerima atau mengenali Sertifikat Penandatanganan Kode EV, dan CCADB akan berhenti menerima Audit Penandatanganan Kode EV. Mulai Agustus 2024, semua OID Penandatanganan Kode EV akan dihapus dari akar yang ada di Program Akar Tepercaya Microsoft, dan semua sertifikat Penandatanganan Kode akan diperlakukan sama.

E. Persyaratan EKU

1. CA harus memberikan pembenaran bisnis untuk semua EKUs yang ditetapkan ke sertifikat akar mereka. Pembenaran dapat berupa bukti publik tentang bisnis penerbitan sertifikat jenis atau jenis saat ini, atau rencana bisnis yang menunjukkan niat untuk menerbitkan sertifikat tersebut dalam jangka waktu dekat (dalam satu tahun distribusi sertifikat akar oleh Program).

2. Microsoft hanya akan mengaktifkan EKUs berikut:

   1. Autentikasi Server =1.3.6.1.5.5.7.3.1
   2. Autentikasi Klien =1.3.6.1.5.5.7.3.2
   3. EKU Email Aman=1.3.6.1.5.5.7.3.4
   4. Stempel waktu EKU=1.3.6.1.5.5.7.3.8
   5. Dokumen Penandatanganan EKU=1.3.6.1.4.1.311.10.3.12
   • EKU ini digunakan untuk menandatangani dokumen dalam Office. Ini tidak diperlukan untuk penggunaan penandatanganan dokumen lainnya.

F. Persyaratan Penandatanganan Kode Mode Kernel (KMCS) Windows 10

Windows 10 memiliki persyaratan yang lebih tinggi untuk memvalidasi driver mode kernel. Driver harus ditandatangani oleh Microsoft dan mitra Program menggunakan persyaratan Validasi yang Diperpanjang. Semua pengembang yang ingin memiliki driver mode kernel mereka yang disertakan dalam Windows harus mengikuti prosedur yang diuraikan oleh Tim Pengembangan Perangkat Keras Microsoft. Untuk informasi selengkapnya, lihat Pusat Mitra untuk Perangkat Keras Windows.