什么是Webtrust认证?
Webtrust(网络信任)认证是电子认证服务行业中唯一的国际性认证标准,主要对互联网服务商的系统及业务运作的商业惯例和信息隐私,交易完整性和安全性。共计七项内容进行近乎严苛的审查和鉴证。由美国注册会计师协会(AICPA)、加拿大注册会计师协会(CICA)联合设立的,起于1998年。
Webtrust认证是各大主流的浏览器、微软等大厂商支持的标准,是规范CA机构运营服务的国际标准。在浏览器厂商根证书植入项目中,必要的条件就是要通过Webtrust认证,才能实现浏览器与数字证书的无缝嵌入。
目前GlobalSign、GeoTrust等国际大型CA机构以及发达国家和地区的认证机构大多数都获得了webtrust认证。
WebTrust认证目的
WebTrust认证是为了确保涉及电子商务交易、公共密钥基础设施(PKI)和密码学中遵循适当的程序。在网上信任和电子商务交易中,身份认证,信息隐私,交易完整性和安全性非常重要。而CA机构颁发的PKI和SSL证书可满足这些要求,认证机构验证组织/实体的身份。
CA机构在网络安全领域中扮演着越来越重要的角色,虽然许多国家有专有的密码学使用标准和准则,数字证书的管理,以及CA的政策,但是这些标准并没有统一的使用。因此AICPA / CICA设定的全球认可的国际WebTrust认证,提升全球网络安全基准。
CA机构管理层声明声明
CA机构在获取Webtrust认证之前,必须先要发布CA机构管理层声明。
CA机构的管理层确保以下几条:
管理层评估CA运作的控制工作。在该评估的基础之上,CA机构应在管理意见书中应该指出,CA机构提供认证服务的区域以声明涵盖的时间范围:
1、公布其密钥和证书生命周期的管理工作以及信息的保密工作,这些工作都符合公布出来的活动事项;
2、 维持有效控制以便适当保障以下方面:
——妥善验证用户信息(由CA机构开展的注册活动);
——确立其管理的密钥和证书,并在它们的生命周期内,保护密钥和证书的完整性。
3、维持有效控制以便适当保障以下方面:
——用户和证书信赖者信息的使用仅限于获得授权的人;
——保持密钥和证书生命周期管理的连续性;
——妥善授权并实施CA系统的发展、维护和运行工作,以保证建立在AICPA/CICA的CA网络信任标准基础上的CA系统的完整性。
获取Webtrust认证标章
要通过Webtrust认证,CA机构还必须符合WebTrust的原则和标准。与此同时,还必须聘请Webtrust授权的执业人员(执业人员须持有AICPA、CICA或其他全国性的权威会计机构颁发的从业许可证)进行网络信任方面的服务;CA机构必须得到该执业人员出示的无保留意见书。
WebTrust的原则和标准文件包括:
WebTrust for CAWebTrust for SSLWebTrust for EV SSLWebTrust for Code SigningWebTrust for EV Code Signing
Webtrust认证标章的保留
一旦获得了该标章,CA在做到以下几点的情况下便可以继续在自己的网页上显示标章:
1. CA聘请的网络信任执业人员定期重审担保内容,并定期更新执业人员所出具的证明。其中更新修正报告时间跨度不能大于12个月。
2. 在没有发布更新修正报告之前,CA应保证将其商业政策、操作、过程以及控制方面的重大变化情况通知执业人员,特别是当这些变化可能影响到CA是否可以继续遵守认证中心网络信任原则和标准,或是影响到遵守这些原则和标准的方法时。这些变动可能引起担保的更新,或是在一些情况下,引起担保标章的撤销,直到执业人员完成重新审查工作为止。如果执业人员发现了CA的上述变化,执业人员可以决定是否在重新完成审查工作之前以及公布修订的审计师报告之前,取消担保标章。
Webtrust认证标章鉴定
为了证明一个CA网站上显示的标章是否真实,用户可以:
1、点击标章,通过安全连接,用户可以打开该CA机构Webtrust认证的验证页面。该页面可以辨认CA是否有权显示Webtrust认证标章。该页面还有许多链接,通过这些链接用户可以了解许多相关的原则(也就是CA网络信任原则)以及其他相关信息。
2、访问获得网络信任标章的实体的名单;该名单由标章管理员发布在www.webtrust.org/abtseals.htm上。只要颁发了标章,获得标章的CA都会被列在名单上。
如:在主流浏览器访问数安时代(GDCA)官网:www.gdca.com.cn,点击网页底部的Webtrust认证标章,即可浏览GDCA的通过Webtrust认证的验证页面,并可以通过其他链接查看其审计报告和管理层的声明,以及更多的信息。
国内信息安全服务商数安时代(GDCA)于2014年通过了Webtrust国际认证,这意味着GDCA机构的运营管理和服务水平符合国际标准,并且有能力、有资质提供全球化认证服务,是可靠电子认证服务的有效证明。
文章来源于https://www.trustauth.cn/wiki/22912.html
