Programkrav – Microsofts betrodda rotprogram

1. Introduktion

Microsoft Root Certificate Program stöder distribution av rotcertifikat, vilket gör det möjligt för kunder att lita Windows produkter. På den här sidan beskrivs programmets allmänna och tekniska krav.

Obs!

2. Krav för att fortsätta programmet

Granskningskrav

  1. Programdeltagarna måste tillhandahålla Microsoft-bevis för en kvalificerad granskning ( https://aka.ms/auditreqsse ) för varje rot, oordnad underordnad certifikatutfärdare och kors signerat certifikat, innan de utför kommersiella åtgärder och därefter på årsbasis.
  2. Programdeltagarna måste ta på sig ansvaret att säkerställa att alla oordnade underordnade certifikat och kors signerade certifikat uppfyller granskningskraven för programmet.
  3. Certifikatutfärdare måste offentligt avslöja alla granskningsrapporter om oordnade underordnade certifikat.

Krav för kommunikation och avslöjande

  1. Programdeltagarna måste tillhandahålla Microsoft identiteterna för minst två "betrodda ombud" som representanter för programmet och ett allmänt e-postalias. Programdeltagarna måste informera Microsoft om borttagning eller tillägg av personal som betrodd agent. Programdeltagare samtycker till att få meddelanden via e-post och måste ge Microsoft en e-postadress för att få officiella meddelanden. Programdeltagarna måste godkänna att meddelandet är effektivt när Microsoft skickar ett e-postmeddelande eller ett officiellt brev. Minst en av de kontakter eller alias som angetts bör vara en 24/7 övervakad kommunikationskanal för återkallelsebegäranden eller andra incidenthanteringssituationer.

  2. Programdeltagaren måste lämna ut sin fullständiga PKI-hierarki (icke-begränsad, underordnad certifikatutfärdare, kors signerade rotcertifikatutfärdare, underordnade CAs, SLA:er, certifikatbegränsningar) till Microsoft varje år, inklusive certifikat som utfärdas till certifikatutfärdare som drivs av externa tredje parter inom CCADB. Programdeltagare måste se till att den här informationen är korrekt i CCADB när ändringar sker. Om en underordnad certifikatutfärdare inte lämnas ut eller granskas offentligt måste den vara domänbegränsningad.

  3. Programdeltagarna måste meddela Microsoft via e-post minst 120 dagar innan ägarskap för registrerad rot eller underordnad certifikatutfärdare överförs till en registrerad rot till en annan enhet eller person.

  4. Orsakskoden måste inkluderas i återkallelser för mellanliggande certifikat. Certifikat måste uppdatera CCADB när ett mellanliggande certifikat återkallas inom 30 dagar.

  5. Programdeltagare samtycker till att Microsoft kan kontakta kunder som Microsoft anser kan påverkas väsentligt av att en rotcertifikatutfärdare tas bort från programmet.

Andra krav

  1. Kommersiella certifikatutfärdare kanske inte registrerar en rotcertifikatutfärdare i det program som är avsett att primärt vara betrott internt inom en organisation (d.v.s. företagscertifikat).

  2. Om en certifikatutfärdare använder en underleverantör för att driva någon del av verksamheten tar certifikatutfärdaren över ansvaret för underleverantörens affärsverksamhet.

  3. Om Microsoft efter eget gottfinnande identifierar ett certifikat vars användning eller attribut avgörs i strid med målen för Trusted Root Program, meddelar Microsoft den ansvariga certifikatutfärdaren och begär att certifikatet återkallas. Certifikatutfärdaren måste antingen återkalla certifikatet eller begära ett undantag från Microsoft inom 24 timmar efter att Microsoft fått meddelandet. Microsoft granskar inskickat material och meddelar certifikatutfärdaren om dess slutliga beslut om att bevilja eller neka undantaget efter eget gottfinnande. Om Microsoft inte beviljar undantaget måste certifikatutfärdaren återkallas inom 24 timmar från det att undantaget nekas.


3. Tekniska krav för programmet

Alla CAs i programmet måste uppfylla programmets tekniska krav. Om Microsoft fastställer att en certifikatutfärdare inte uppfyller kraven nedan kommer Microsoft att utesluta den certifikatutfärdaren från programmet.

A. Rotkrav

  1. Rotcertifikat måste vara x.509 v3-certifikat.
    1. CN-attributet måste identifiera utgivaren och måste vara unikt.
    2. CN-attributet måste vara på ett språk som är lämpligt för certifikatutfärdarens marknad och läsas av en vanlig kund på den marknaden.
    3. Tillägg för grundläggande villkor: måste vara cA=true.
    4. Tillägget för nyckelanvändning MÅSTE finnas och MÅSTE markeras som kritiskt. Bitpositioner för KeyCertSign och cRLSign MUST be set. Om rot-CA-privatnyckeln används för att signera OCSP-svar måste den digitalSignature-biten ställas in.
      • Rotnyckelstorlekar måste uppfylla kraven i "Nyckelkrav".
  2. Certifikat som ska läggas till i betrodda rotarkiv måste vara själv signerade rotcertifikat.
  3. Nyligen minterade rotcertifikatcertifikat måste vara giltiga i minst 8 år och högst 25 år från det datum då de skickas.
  4. Deltagande rotcertifikat (CAs) kanske inte utfärdar nya 1024-bitars RSA-certifikat från rötter som omfattas av dessa krav.
  5. Alla slutentitetscertifikat måste innehålla ett AIA-tillägg med en giltig OCSP-URL. De här certifikaten kan också innehålla ett CDP-tillägg som innehåller en giltig CRL-URL. Alla andra certifikattyper måste innehålla antingen ett AIA-tillägg med en OCSP-URL eller ett CDP-tillägg med en giltig CRL-URL
  6. Privata nycklar och ämnesnamn måste vara unika per rotcertifikat. återanvändning av privata nycklar eller ämnesnamn i efterföljande rotcertifikat av samma certifikatutfärdare kan resultera i oväntade problem med certifikatkedja. Certifikatutfärdare måste generera en ny nyckel och tillämpa ett nytt ämnesnamn när de skapar ett nytt rotcertifikat innan distributionen av Microsoft.
  7. Myndigheter måste begränsa serverautentisering till toppnivådomäner som utfärdats av myndigheter och kan endast utfärda andra certifikat enligt ISO3166-landskoderna som landet har suverän kontroll över ( https://aka.ms/auditreqs se avsnitt III för definitionen av en "myndighets-CA"). Dessa myndigheters TLD:er hänvisas till i varje certifikatutfärdares respektive avtal.
  8. När du utfärdar CA-certifikat som kedjar till en deltagande rotcertifikatutfärdare måste serverautentisering, S/MIME-, kodsignering och tidsstämplar avgränsas. Det innebär att en enda utfärdar certifikatutfärdare inte får kombinera serverautentisering med S/MIME, kodsignering eller tidsstämpla eKU. En separat mellanliggande måste användas för varje användningsfall.
  9. Slutentitetscertifikat måste uppfylla kraven för algoritmtyp och nyckelstorlek för abonnentcertifikat som anges i Bilaga A till CAB-forumets baslinjekrav som finns i https://cabforum.org/baseline-requirements-documents/.
  10. Certifikatutfärdare ska deklarera någon av följande policy OIDs i dess certifikattillägg för certifikatutökning av slutentitet:
    1. DV 2.23.140.1.2.1
    2. OV 2.23.140.1.2.2
    3. EV 2.23.140.1.1.
    4. IV 2.23.140.1.2.3
    5. EV-kod signering 2.23.140.1.3
    6. Icke-EV-kod som signerar 2.23.140.1.4.1
  11. Certifikat för slutentitet som innehåller tillägget Basic Constraints enligt IETF RFC 5280 måste ha cA-fältet inställt på FALSKT och fältet pathLenConstraint måste vara frånvarande.
  12. En certifikatutfärdare måste tekniskt begränsa en OCSP-svarare så att den enda EKU som tillåts är OCSP-signering.
  13. En certifikatutfärdare måste kunna återkalla ett certifikat till ett visst datum som begärs av Microsoft.

B. Signaturkrav

Algoritm Alla användningsområden utom kodsignering och tidsstämplar Kodsignering och tidsstämplar
Sammanfattningsalgoritmer SHA2 (SHA256, SHA384, SHA512) SHA2 (SHA256, SHA384, SHA512)
RSA 2048 4096 (endast nya rötter)
ECC/ECDSA NIST P-256, P-384, P-521 NIST P-256, P-384, P-521

C. Återkallelsekrav

  1. Certifikatutfärdaren måste ha en dokumenterad återkallningsprincip och måste kunna återkalla eventuella certifikat den utfärdar.
  2. Användare som utfärdar serverautentiseringscertifikat måste ha stöd för följande krav för OCSP-svarare:
    1. Minsta giltighet på åtta (8) timmar; Maximal giltighet på sju (7) dagar; och
    2. Nästa uppdatering måste vara tillgänglig minst åtta (8) timmar innan den aktuella perioden går ut. Om giltigheten är mer än 16 timmar måste nästa uppdatering vara tillgänglig kl. 1/2 av giltighetsperioden.
  3. Alla certifikat som utfärdats från en rotcertifikatutfärdare måste ha stöd för distributionspunktens anknytning till CRL och/eller AIA som innehåller URL-adressen för OCSP-svar.
  4. Certifikatutfärdaren får inte använda rotcertifikatet för att utfärda slutentitetscertifikat.
  5. Om en certifikatutfärdare utfärdar kodsigneringscertifikat måste den använda en tidsstämpelutfärdare som uppfyller RFC 3161, "Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP)."

D. Krav för kodsignering av rotcertifikat

  1. Rotcertifikat som stöder kodsigneringsanvändning kan tas bort från distributionen av programmet 10 år från distributionsdatum för en ersättnings rollover root certificate eller tidigare, om ca begärs.
  2. Rotcertifikat som ligger kvar i distributionen för att endast stödja kodsignering använder utöver deras algoritmens säkerhetstid (t.ex. RSA 1024 = 2014, RSA 2048 = 2030) kan vara inställt på "inaktivera" i Windows 10-operativsystemet.

E. EKU-krav

  1. Certifikatutfärdare måste ange en affärsre justering för alla EK-företag som tilldelats till rotcertifikatet. Justering kan vara i form av offentliga bevis för ett aktuellt företag som utfärdar certifikat av en typ eller typ, eller en affärsplan som visar en avsikt att utfärda dessa certifikat inom den närmaste framtiden (inom ett år efter rotcertifikatdistributionen av programmet).

  2. Microsoft aktiverar endast följande EKUs:

    1. Serverautentisering =1.3.6.1.5.5.7.3.1
    2. Klientautentisering =1.3.6.1.5.5.7.3.2
    3. Säker e-post-EKU=1.3.6.1.5.5.7.3.4
    4. EKU=1,3.6.1.5.5.7.3.8
    5. Document Signing EKU=1.3.6.1.4.1.311.10.3.12
    • Den här EKU:n används för att signera dokument inom Office. Det krävs inte för annan användning av dokumentsignering.

F. Windows 10 KMCS-krav (Kernel Mode Code Signing)

Windows 10 har förhöjda krav för att verifiera kernel-läge-drivrutiner. Drivrutiner måste vara signerade av både Microsoft och programpartner med utökade valideringskrav. Alla utvecklare som vill inkludera sina kernel-lägesdrivrutiner i Windows måste följa procedurerna som beskrivs av Microsofts maskinvaruutvecklingsteam. Programdokumentation finns här