Controlevereisten - Microsoft Trusted Root Certificate Program

Op deze pagina worden de vereisten beschreven voor certificeringsinstanties (CA's) die deelnemen aan het Microsoft Trusted Root Certificate Program ('Programma') samen met de vereisten voor het gebruik van elk van de EKU's die Microsoft momenteel ondersteunt als onderdeel van het Vertrouwde basiscertificaatprogramma van Microsoft.

Hieronder vindt u de vereisten voor zowel commerciële CA's als overheids-CA's, samen met informatie over wat een overheids-CA is. (Zie definities hieronder). Daarnaast vindt u informatie over hoe de vereisten veranderen voor overheids-CA's.

Notitie

Bladwijzer op deze pagina: https://aka.ms/auditreqs


Algemene vereisten

Microsoft vereist dat elke CA jaarlijks bewijs van een in aanmerking komende audit indient voor de CA en elke niet-beperkte hoofdmap binnen de PKI-keten. Een kwalificerende controle moet voldoen aan de volgende vijf hoofdvereisten:

  1. de auditor moet gekwalificeerd zijn,
  2. de controle moet worden uitgevoerd met het juiste bereik,
  3. de controle moet worden uitgevoerd met behulp van de juiste standaard en
  4. de controle moet worden uitgevoerd en de attestation-brief moet binnen de juiste periode worden afgegeven en
  5. de auditor moet een in aanmerking komende attestation voltooien en indienen.

Het is de verantwoordelijkheid van de CA om Microsoft tijdig een in aanmerking komende attestation te bieden aan de resultaten van de audit en de naleving van de auditvereisten.

A. De kwalificaties van de auditor

Microsoft beschouwt een auditor als gekwalificeerde auditor als s/hij een onafhankelijke persoon of onderneming is die is gecertificeerd om certificeringsinstantiecontroles uit te voeren door een van deze drie autoriteiten: (1) WebTrust, (2) een etSI-equivalente nationale autoriteit (gepubliceerd op https://aka.ms/ena) of (3) in het geval van een overheids-CA, de overheid zelf. (Zie 'Ca-vereisten voor overheid' hieronder voor meer informatie over overheids-CA's.)

Als een CA ervoor kiest om een WebTrust-audit te verkrijgen, vereist Microsoft dat de CA een webtrust-auditor met licentie behoudt om de controle uit te voeren. De volledige lijst met door WebTrust gelicentieerde auditors is beschikbaar op https://aka.ms/webtrustauditors. Als een CA ervoor kiest om een OP ETSI gebaseerde audit te verkrijgen, vereist Microsoft dat de CA een geautoriseerde entiteit behoudt door een equivalente nationale instantie (of 'ENA's'). Een catalogus met acceptabele ENA's is gebaseerd op de lijst op https://aka.ms/ena. Als een CA wordt uitgevoerd in een land dat geen equivalente nationale instantie van ETSI heeft, accepteert Microsoft een controle die wordt uitgevoerd door een auditor die is gekwalificeerd onder een equivalente nationale autoriteit in het land van de auditor.

B. Het bereik van de controle

Het bereik van de controle moet alle basismappen, niet-beperkte subhoofdmappen en kruisondertekende niet-ingeschreven wortels omvatten, onder de hoofdmap, met uitzondering van subhoofdmappen die zijn beperkt tot een geverifieerd domein. De controle moet ook de volledige PKI-hiërarchie documenteeren. De uiteindelijke auditinstructies moeten zich op een openbaar toegankelijke locatie bevinden en moeten de begin- en einddatums van de controleperiode bevatten. In het geval van een WebTrust-audit moeten WebTrust-zegel(s) zich ook op een openbaar toegankelijke locatie bevinden.

C. Beoordeling van gereedheidsevaluaties voor een bepaald tijdstip

Microsoft vereist een controle voordat commerciële bewerkingen worden uitgevoerd. Voor commerciële CA's die gedurende 90 dagen of langer niet operationeel zijn geweest als uitgever van certificaten, accepteert Microsoft een controle op gereedheid op een bepaald tijdstip die wordt uitgevoerd door een gekwalificeerde auditor. Als de CA gebruikmaakt van een controle voor gereedheid op een bepaald tijdstip, vereist Microsoft binnen 90 dagen nadat de CA het eerste certificaat heeft uitgegeven, een opvolgingscontrole nodig. Een commerciële CA die al in ons programma staat om een nieuwe hoofdmap in te sluiten, is vrijgesteld van de controlevereiste voor een bepaald tijdstip en een periode-in-time voor de nieuwe wortels. In plaats daarvan moeten ze up-to-date zijn op controles voor hun bestaande wortels in het programma.

D. De periode tussen de evaluatie en de attestation van de auditor

Microsoft vereist dat de CA jaarlijks een conforme controle krijgt. Om ervoor te zorgen dat Microsoft informatie heeft die de huidige bedrijfsprocessen van de CA nauwkeurig weerspiegelt, moet de attestation-brief die uit de controle voortvloeit, worden gedateerd en ontvangen door Microsoft niet meer dan 3 maanden vanaf de einddatum die is opgegeven in de attestation-brief.

E. Attestation controleren

Microsoft vereist dat elke auditor een in aanmerking komende attestation voltooit en indient bij Microsoft. Voor een in aanmerking komende attestation moet de auditor een in aanmerking komende Attestation-brief voltooien.

Microsoft gebruikt een hulpprogramma om auditbrieven automatisch te parseren om de nauwkeurigheid van de in aanmerking komende attestation-brief te valideren. Dit hulpprogramma vindt u in de Common Certification Authority Database (CCADB). Neem contact op met uw auditor om ervoor te zorgen dat de In aanmerking komende Attestation Letter voldoet aan de volgende vereisten. Als de auditbrief in een van deze categorieën mislukt, wordt er een e-mail teruggestuurd naar de CA waarin wordt gevraagd om de auditbrief bij te werken.

ALL CAS

  1. Auditbrief moet in het Engels worden geschreven
  2. De auditbrief moet de PDF-indeling Tekst doorzoekbaar hebben.
  3. Auditbrief moet de naam van de auditor in de auditbrief hebben zoals vastgelegd in CCADB.
  4. Auditletter moet een lijst met SHA1-vingerafdruk of SHA256-vingerafdruk van gecontroleerde wortels vermelden.
  5. Auditbrief moet de datum vermelden waarop de auditbrief is geschreven.
  6. De auditbrief moet de begin- en einddatums van de gecontroleerde periode aangeven. Houd er rekening mee dat dit niet de periode is waarop de auditor ter plaatse was.
  7. De auditbrief moet de volledige naam van de CA bevatten zoals vastgelegd in CCADB.
  8. De auditbrief moet de auditstandaarden vermelden die tijdens de controle zijn gebruikt. Raadpleeg de richtlijnen van WebTrust/ETSI of https://aka.ms/auditreqs vermeld de volledige naam en versie van de auditstandaarden waarnaar wordt verwezen.

CA's die webtrust-controles verzenden

  1. Controles die worden uitgevoerd door gecertificeerde WebTrust-auditors, moeten hun auditbrieven hebben geüpload naar https://cert.webtrust.org.

CA's die ETSI-controles verzenden

  1. Controles die door gecertificeerde ETSI-auditors worden uitgevoerd, moeten hun auditbrieven naar de website van hun auditor laten uploaden. Indien de auditor niet op zijn website plaatst, moet de CA de naam en het e-mailadres van de auditor opgeven bij het indienen van de auditbrief. Een Microsoft-vertegenwoordiger neemt contact op met de auditor om de echtheid van de brief te verifiëren.
  2. CA's kunnen controles indienen met het EN 319 411-2- of 411-2-beleid.

F. Inzending controleren

Als u jaarlijkse audits wilt indienen, raadpleegt u de instructies van CCADB over het maken van een auditcase die hier wordt gevonden: https://ccadb.org/cas/updates

Als de CA wordt toegepast in de hoofdopslag en zich niet in de CCADB bevindt, moeten ze hun controleverklaring per e-mail verzenden naar msroot@microsoft.com.


Conventionele CA-controlestandaarden

Het programma accepteert twee soorten auditstandaarden: WebTrust en ETSI. Voor elk van de EKU's aan de linkerkant vereist Microsoft een controle die voldoet aan de standaard die is gemarkeerd.

A. WebTrust-controles

Microsoft vereist nu de Beginselen en criteria voor WebTrust Trust Services voor certificeringsinstanties: ondertekening van code voor auditverklaringen met perioden die op of na 1 januari 2018 worden afgesloten. Dit is vereist voor elke CA waarvoor de EKU voor codeondertekening is ingeschakeld voor hun wortels. Als voor een CA de EKU voor het ondertekenen van code is ingeschakeld op een hoofdmap, maar niet actief certificaten voor het ondertekenen van programmacode worden uitgegeven, kan de msroot@microsoft.com EKU-status zijn ingesteld op 'NotBefore'.

Criteria WebTrust voor CA v2.1 SSL-basislijn met netwerkbeveiliging v2.3 Uitgebreide validatie SSL v1.6.2 Uitgebreide validatiecode ondertekenen v1.4.1 Openbaar vertrouwde certificaten voor ondertekening van code v1.0.1
Serververificatie (niet-EV) X X
Serververificatie (alleen niet-EV) en clientverificatie X X
Serververificatie (EV) X X X
Alleen serververificatie (EV) en clientverificatie X X X
EV-codeondertekening X X
Ondertekening en tijdstempel van niet-EV-code X X
Beveiligde e-mail (S/MIME) X
Clientverificatie (zonder serververificatie) X
Documentondertekening X

B. controles voor ETSI-Based

Opmerking 1: Als een CERTIFICERINGsinstantie gebruikmaakt van een ETSI-audit, moet deze jaarlijks een volledige controle uitvoeren en accepteert Microsoft geen toezichtcontroles. Opmerking 2: Alle ETSI-auditinstructies moeten worden gecontroleerd op basis van de vereisten van het CA/Browser Forum en de naleving van deze vereisten moeten worden vermeld in de auditbrief. De ACAB'c [https://acab-c.com] heeft richtlijnen verstrekt die voldoen aan de Microsoft-vereisten.

Criteria EN 319 411-1: DVCP, OVCP of PTC-BR-beleid EN 319 411-1: EVCP-beleid EN 319 411-2: QCP-w beleid (gebaseerd op EN 319 411-1, EVCP) EN 319 411-1: LCP, NCP, NCP+ beleid EN 319 411-2: QCP-n, QCP-n-qscd, QCP-l, QCP-l-qscd-beleid (gebaseerd op EN 319 411-1, NCP/NCP+)
Serververificatie (niet-EV) X
Serververificatie (alleen niet-EV) en clientverificatie X
Serververificatie (EV) X
Alleen serververificatie (EV) en clientverificatie X X
EV-codeondertekening X X
Ondertekening en tijdstempel van niet-EV-code X X
Beveiligde e-mail (S/MIME) X X
Clientverificatie (zonder serververificatie) X X
Documentondertekening X X

Ca-vereisten voor de overheid

Overheids-CA's kunnen ervoor kiezen om de bovenstaande WebTrust- of ETSI-gebaseerde audit(s) te verkrijgen die vereist zijn voor commerciële CA's of om een equivalente controle te gebruiken. Als een overheids-CA ervoor kiest om een webtrust- of ETSI-audit te verkrijgen, behandelt Microsoft de overheids-CA als een commerciële CA. De ca van de overheid kan vervolgens werken zonder de certificaten te beperken die het uitgeeft.

A. Equivalente controlebeperkingen

Als de overheids-CA ervoor kiest geen WebTrust- of ETSI-controle te gebruiken, kan deze een equivalente audit verkrijgen. In een equivalente audit (EA) selecteert de overheidsinstantie een derde partij om een controle uit te voeren. De controle heeft twee doeleinden: (1) om aan te tonen dat de ca van de overheid voldoet aan de lokale wet- en regelgeving met betrekking tot de werking van de certificeringsinstantie en (2) om aan te tonen dat de controle aanzienlijk voldoet aan de relevante WebTrust- of ETSI-standaard.

Als een overheids-CA ervoor kiest om een EA te verkrijgen, beperkt Microsoft het bereik van certificaten die de certificeringsinstantie kan verlenen. Overheids-CA's die serververificatiecertificaten uitgeven, moeten de hoofdmap beperken tot door de overheid beheerde domeinen. Regeringen moeten de uitgifte van andere certificaten beperken tot ISO3166-landcodes waarover het land onafhankelijke zeggenschap heeft.

Overheids-CA's moeten ook de juiste basisvereisten voor cab-forumbasislijnen voor CA's accepteren en aannemen op basis van het type certificaten dat de hoofdproblemen hebben. De programmavereisten en controlevereisten vervangen deze vereisten echter in elk aspect waarin ze conflicteren.

Alle overheids-CA's die het programma invoeren, zijn onderworpen aan de bovenstaande EA-vereisten. Alle overheids-CA's die vóór 1 juni 2015 deel uitmaken van het programma, zullen onmiddellijk na verloop van hun dan huidige controle voldoen aan de bovenstaande EA-vereisten.

B. Inhoud van het equivalente auditrapport

Microsoft vereist alle overheids-CA's die een EA indienen om een attestation-brief van de auditor te verstrekken die:

  1. Verklaart dat de controle wordt uitgegeven door een onafhankelijke instantie die is geautoriseerd door de overheid van de overheidsinstantie om de controle uit te voeren;
  2. Vermeldt de overheidscriteria voor de kwalificatie van de auditor door de overheid en geeft aan dat de auditor aan deze criteria voldoet;
  3. Vermeldt de specifieke statuten, regels en/of voorschriften waarvoor de auditor de activiteiten van de ca van de overheid heeft beoordeeld;
  4. Certificeert de naleving van de vereisten die worden beschreven in de genoemde statuten, regels en/of voorschriften van de overheid;
  5. Bevat informatie waarin wordt beschreven hoe de vereisten van het statuut gelijk zijn aan de juiste WebTrust- of ETSI-audit(s) ;
  6. Vermeldt certificeringsinstanties en derden die zijn geautoriseerd door de overheidsinstantie om certificaten namens de overheidsinstantie in een certificaatketen uit te geven;
  7. Documenter de volledige PKI-hiërarchie; En
  8. Geeft de begin- en einddatum van de controleperiode op.

Definities

Ca voor overheid

Een 'Overheids-CA' is een entiteit die de Overeenkomst van het Overheidsprogramma ondertekent.

Commerciële CA

Een commerciële CA is een entiteit die de commerciële programmaovereenkomst ondertekent.

Certificeringsinstantie

"Certificeringsinstantie" of "CA" betekent een entiteit die digitale certificaten uitgeeft in overeenstemming met lokale wetten en voorschriften.

Lokale wet- en regelgeving

"Lokale wetten en voorschriften": de wetten en voorschriften die van toepassing zijn op een CERTIFICERINGsinstantie waaronder de CA is gemachtigd om digitale certificaten uit te geven, die de toepasselijke beleidsregels, regels en standaarden voor het uitgeven, onderhouden of intrekken van certificaten bevatten, waaronder controlefrequentie en procedure.