《商用密码根证书认证策略》

一、资质审核

1.1 资质要求

申请奇安信可信浏览器商用密码根证书认证的CA机构,至少取得以下资质。

1.1.1 电子认证服务使用密码许可证

由国家密码主管机构-国家密码管理局颁发。

1.1.2 电子认证服务许可证

由国家电子认证服务主管机构-工信部颁发。

1.1.3 商用密码软硬件认证证明

由国密商用密码相关认证机构颁发的,安全生产所用到的商用密码软硬件认证证明。

1.2 资质有效性

CA机构必须提交在有效期内的资质证明或续期材料证明。

二、认证证书类别

必须由通过上述“资质审核”的合规主体单位签发的商业运行密码证书,才可以申请奇安信可信浏览器商用密码根证书认证。

三、审计要求(任选其一)

1.WebTrust审计报告提供链接和PDF文档。

2.审计员(内部审计员或第三方审计机构人员)在证书安全生产要求中出具的审计报告。有效期起始时间在2021.9.1之后的,提供录像证明安全生成根证书、中级证书的过程;有效期起始时间在2021.9.1之前的,提供录像证明安全生成中级证书的过程;

四、证书安全生产要求

4.1 操作以及基本要求

给出全程录像,并标注以下基本重要信息。

4.1.1 安全生产场地

CA机构必须具备符合国家密码主管机构和电子认证服务主管机构要求的场地,密钥和证书的生成过程必须在该场地安全区内实施。

4.1.2 安全生产人员

密钥和证书的生成整个过程,至少3人同时在场,且其中至少一名审计人员。

4.1.3 安全生产过程

密钥和证书的生成整个过程,必须至少2名操作技术员,严格按照经过审批可重复操作的脚本进行;由内部审计人员详细记录并出具审计报告,报告中应注明此次生产证书的序列号;过程录像应包括上述场地环境的实况取景,操作员和审计员正面画面,以及生成密钥和证书的全过程,要有生成证书序列号展示画面。

五、技术基线要求

5.1 电子认证活动参与者

5.1.1 电子认证服务机构CA

CA(Certification Authority)承担证书签发、更新、吊销、密钥管理、证书查询、证书黑名单(证书吊销列表或 CRL)发布、政策制定等工作。

5.1.2 注册机构RA

RA(Registration Authority)负责订户证书的申请受理、审批和管理, 直接面向证书订户,并负责在订户和 CA 之间传递证书管理信息。(RA可以设置在CA机构内部,统一由CA承担RA责任。)

5.1.3 订户

订户是指向 CA 申请证书的实体,通常为个人或机构,申请证书为受信任服务器或安全通信设施提供身份证明。

5.1.4 依赖方

依赖方是指接受电子认证服务机构的依赖协议,独立地判断该策略证书的安全性是否满足其应用的安全需求,并验证本策略证书和相应签名的实体。

5.2 CA安全生产要求

5.2.1 根证书密码算法要求

CA机构必须按照《SM2密码算法使用规范》要求生成根证书,且必须使用256Bit及以上。

5.2.2 中级证书生成环境要求

CA机构必须按照《信息安全技术 密码模块安全要求》建立密钥管理系统,该系统在基于第三方商用密码认证的HSM硬件安全模块中生成和管理密钥以及证书,且认证方为国家密码主管机构。

5.2.3 根证书体系要求

CA机构提交的证书必须是由国家电子认证根CA签发的证书,并且能够在国家电子认证根CA官网查询到。

5.2.4 证书格式要求

CA机构必须按照《信息安全技术 公钥基础设施数字证书格式》签发证书。证书内容包括但不限于正确的主题名称、使用者可选名称、CRL列表或OCSP(1.3.6.1.5.5.7.48.1)地址以及证书颁发机构颁发者(1.3.6.1.5.5.7.48.2)证书链接。

5.2.5 CP/CPS框架要求

CA机构必须遵照《电子认证业务规则规范》编写CP/CPS文档。

5.2.6 CP/CPS获取

CA机构必须提供线上CP/CPS发布页面或pdf并及时更新维护。

5.2.7 订户申请鉴证

CA机构必须在CP或CPS中详细列出对于订户证书申请域名或IP的鉴证方法和具体步骤。

5.2.8 本地主机名和私有IP地址证书

由于5.2.7鉴证无法完成,不允许CA机构向本地主机名和私有IP地址签发证书。

5.2.9 私钥管理要求

CA机构必须做到在5.2.2中提及的密钥管理系统中生成的私钥,进行妥善管理保护,防止泄露。

5.3 CA运营时效要求

5.3.1 根证书有效期

CA机构的SLL根证书总有效期不宜超过30年;且自入根申请之日起,剩余有效期需超过或等于5年。

5.3.2 订户证书有效期

CA机构签发的订户证书总有效期不宜超过398天。

5.3.3 CA机构事件响应机制

CA机构必须建立健全重大或紧急事件报告机制。

包括但不限于如下事件:

1.私钥泄露

2.错误证书签发

3.设施故障

当有以上或其他重大或者紧急严重事件发生时,CA机构应在24小时内以书面形式通知我司相关人员,并在72小时内对事件做出完整报告。

5.3.4 OCSP响应更新机制

CA机构提供的OCSP响应程序在签发或撤销订户证书应在7日内更新为宜; ARL/CRL更新机制

订户证书CRL 在有订户证书被吊销时,应在7日内更新。

5.4 CA服务要求

5.4.1 反馈机制

CA机构需要在CP/CPS或其它官方渠道提供针对证书的反馈方式,反馈对象可以是电子认证活动的一个或多个参与者。

5.4.2 生产环境模拟

CA机构可以有选择地对入根证书搭建测试网站,选择范围包括部署有效的,过期的,吊销的订户证书三类为必选;包括错误主题名称、错误的使用者可选名称、不包含CRL同时无OCSP地址等等扩展字段为可选,供检查核验。

5.5 建议要求

5.5.1 证书版本

建议证书格式全部使用X.509 V3格式。

5.5.2 根证书体系更新机制

建议签发新CA的7日内更新2.6规范的在线信息库以及pdf版本。

5.5.3 测试CA分支链

建议签发CA测试分支链,在订户正式部署线上环境前解决各种规范问题并不会影响线上已有正式CA链证书。

六、补充说明

1. 本认证策略解释权归奇安信集团所有,我司可随时根据政策、市场或其他内外部原因调整更新本认证策略。

2. 本认证策略发生改变时,我司有权要求CA机构出具新策略所需的对应资料,并根据新的认证策略重新审核已通过认证的根证书。

3. 对于无法通过重新审核的证书,我司有权从认证根证书列表中移除其证书。

4. 对于证书运营过程中违反本认证策略的CA机构,我司有权从认证根证书列表中移除其证书。

5. 证书面临被移除风险时,CA机构应积极与我司沟通协商,对其已签发的证书进行妥善处置。