Principes et critères

Découvrez les dernières versions mises à jour des critères et principes WebTrust.

AVIS : PUBLICATION D’UNE NOUVELLE VERSION ET DE VERSIONS MISES À JOUR DES PRINCIPES ET CRITÈRES WEBTRUST POUR LES AUTORITÉS DE CERTIFICATION

Le Groupe de travail sur la certification WebTrust/ICP a publié :

  • la version 2.3 de WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security (Principes et critères WebTrust pour les autorités de certification – Règles de base SSL et Sécurité réseau, en anglais), qui remplace la version 2.2. Elle s’applique aux audits des périodes ouvertes à compter du 1er février 2018
  • la version 2.1 de WebTrust for Certification Authorities (WebTrust pour les autorités de certification, en anglais), qui remplace la version 2.0. Elle s’applique aux audits des périodes ouvertes à compter du 1er novembre 2017
  • la version 1.6.2 de WebTrust for Certification Authorities – Extended Validation – SSL (WebTrust pour les autorités de certification – Validation étendue – SSL, en anglais) qui remplace la version 1.6.0. Elle s’applique aux audits des périodes ouvertes à compter du 1er novembre 2017
  • la version 1.4.1 de WebTrust for Certification Authorities – Extended validation – Code Signing (WebTrust pour les autorités de certification – Validation étendue – Signature de code, en anglais), qui remplace la version 1.4.0. Elle s’applique aux audits des périodes ouvertes à compter du 1er novembre 2017

Changements importants

Version 2.3 de WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security (Principes et critères WebTrust pour les autorités de certification – Règles de base SSL et Sécurité réseau, en anglais) :

Mise à jour des critères d’audit relatifs aux règles de base SSL aux fins de conformité avec la version 1.5.4 des règles de base SSL et la version 1.1 des règles relatives à la sécurité des systèmes de certificats et des réseaux.

  • Principe 1, Critère 6 – Exigence pour les autorités de certification de communiquer leurs politiques relatives aux enregistrements CAA (autorisation d’autorité de certification) dans leur énoncé de pratiques de certification
  • Principe 2, Critère 2.14 – Clarification de la règle concernant les renseignements sur l’objet relativement à l’autorité de certification (AC) racine et à l’AC subordonnée
  • Principe 2, Critère 4.1 – Mise à jour exigeant que la validation des noms de domaine soit effectuée avant la délivrance du certificat (et non plus au moment de la délivrance du certificat), et que l’AC tienne un registre de la méthode de validation des noms de domaine (et de la version des règles de base connexe) utilisée
  • Principe 2, Critère 4.6 – Révision exigeant que les données ne soient pas plus anciennes que 825 jours (auparavant, 39 mois) pour les certificats délivrés à compter du 1er mars 2018, et mise à jour prévoyant qu’une autorité de certification ne peut réutiliser une validation déjà émise par elle
  • Principe 2, Critères 4.10 et 4.11 – Ajout de nouveaux critères portant sur les exigences relatives au traitement des enregistrements CAA
  • Principe 2, Critères 4.12 et 4.13 – Renumérotation (auparavant, critères 4.10 et 4.11)
  • Principe 2, Critère 8.3 – Mise à jour prévoyant que ce critère ne s’applique qu’aux certificats délivrés avant le 11 août 2017
  • Principe 4 – Mises à jour effectuées pour tenir compte du scrutin 2010 du Forum des autorités de certification et des fournisseurs de logiciels de navigation (CA/Browser Forum)

Version 2.1 de WebTrust for Certification Authorities  (WebTrust pour les autorités de certification, en anglais) :

Mise à jour de l’introduction, notamment par la clarification des définitions d’autorité de certification (AC) racine, d’AC intermédiaire/émettrice, d’AC subordonnée, et par l’ajout d’explications sur la structure reposant sur une AC pont.

  • Retrait des renvois à WebTrust v1 concernant les informations fournies sur les pratiques de gestion. Les politiques de certification et les énoncés de pratiques de certification doivent désormais être structurés selon les documents RFC 3647 (recommandé) ou 2527.
  • Mise à jour des critères suivants :
  • Critères 1.1 et 1.2 – retrait des renvois à WebTrust v1
  • Critères 2.1 et 2.2 – inversion de l’ordre par souci de cohérence avec 1.1 et 1.2
  • Critère 3.6 – élargissement du champ d’application de manière à traiter expressément des hyperviseurs et des périphériques de réseau
  • Critère 3.7 – élargissement du champ d’application de manière à traiter expressément de l’application de correctifs aux systèmes de l’AC et des activités de gestion du changement
  • Critère 3.8 – clarification du champ d’application afin de traiter de l’exigence de sauvegarde des informations de l’AC à intervalles réguliers, conformément aux informations fournies sur les pratiques de gestion de l’AC
  • Critère 4.5 – division en deux critères (4.5 et 4.6) et renumérotation des critères suivants
  • Critère 4.6 – clarification du champ d’application afin de traiter de la destruction des copies de clés de l’AC, et ajout d’exemples de contrôles illustrant des procédures formelles de destruction de clés
  • Critère 4.10 – ajout d’un nouveau critère afin de traiter du transport des clés de l’AC
  • Critère 4.11 – ajout d’un nouveau critère afin de traiter de la relocalisation des clés de l’AC
  • Critère 6.1 – simplification des critères, légères modifications apportées aux exemples de contrôles
  • Critère 7.1 – critère mis à jour pour traiter des demandes de certificats croisés.

Version 1.6.2 de WebTrust for Certification Authorities  - Extended Validation – SSL (WebTrust pour les autorités de certification – Validation étendue – SSL, en anglais) :

Mise à jour des critères d’audit de la validation étendue SSL aux fins de conformité à la version 1.6.2 des lignes directrices concernant la validation étendue SSL (EV SSL guidelines, v1.6.2) et à d’autres indications, notamment :

  • Principe 2, Critère 2.2.3 – mise à jour de la durée de vie maximale d’un certificat de validation étendue, qui est portée à 825 jours
  • Principe 2, Critère 4.13 – codification des exigences concernant la responsabilité qu’a l’autorité de certification de vérifier l’exactitude des sources d’information indépendantes qualifiées (Qualified Independent Information Sources – QIIS).

Version 1.6.2 de WebTrust for Certification Authorities - Extended Validation – SSL (WebTrust pour les autorités de certification – Validation étendue – SSL, en anglais) :

  • Retrait du principe 2, Critère 5.12, car il n’était pas auditable.

AVIS : PUBLICATION D’INDICATIONS À L’INTENTION DES PRATICIENS – EXEMPLES D’APPLICATION

Le Groupe de travail sur la certification WebTrust/ICP a élaboré des exemples d’application (en anglais) à l’intention des praticiens WebTrust autorisés. Ils visent à les aider à préparer des rapports d’audit WebTrust selon les normes canadiennes, américaines et internationales, et peuvent être téléchargés sous l’onglet Indications à l’intention des praticiens.

GRILLE D’APPLICABILITÉ POUR L’AUDIT

WebTrust à l’intention des autorités de certification – Grille d’applicabilité pour l’audit (en anglais)

Le document WebTrust for Certification Authorities – Audit Applicability Matrix (WebTrust à l’intention des autorités de certification – Grille d’applicabilité pour l’audit, en anglais) fournit des précisions sur les principales exigences en matière d’audit découlant des indications du Forum des autorités de certification et des fournisseurs de logiciels de navigation (CA/Browser Forum), entre autres. En outre, il fournit une liste des versions des différents modèles d’audit WebTrust applicables aux autorités de certification. (À jour au 23 octobre 2017)

PRINCIPES ET CRITÈRES WEBTRUST POUR LES AUTORITÉS DE CERTIFICATION

Cadre de référence pour les fournisseurs de services de certification tiers concernant l’évaluation de la pertinence et de l’efficacité des contrôles utilisés par les autorités de certification (AC) (en anglais)

Cadre de référence pour les fournisseurs de services de certification tiers concernant les certificats de validation étendue (en anglais)

La version 1.6 s’applique aux audits des périodes ouvertes à compter du 1er janvier 2017.  Pour les audits des périodes ouvertes avant le 1er janvier 2017, veuillez vous servir de la version 1.4.5 (en anglais)

Cadre de référence pour les fournisseurs de services de certification tiers concernant les certificats SSL (en anglais)

WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security – Version 2.3 (Principes et critères WebTrust pour les autorités de certification – Règles de base SSL et Sécurité réseau, en anglais)

La version 2.3 s’applique aux audits des périodes ouvertes à compter du 1er février 2018.  Pour les audits des périodes ouvertes avant le 31 janvier 2018, veuillez vous servir de la version 2.2, qui comprend les exigences du Forum des autorités de certification et des fournisseurs de logiciels de navigation concernant la délivrance et la gestion de certificats de clés publiques, et les exigences de sécurité des réseaux et des systèmes de certificats (pour de plus amples informations, voir les Annexes A, B, C et D dans les documents sur les principes et les critères).

La version 2.3 comprend deux documents sur les exigences du Forum des autorités de certification et des fournisseurs de logiciels de navigation :

  • Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates (Exigences de base concernant la délivrance et la gestion de certificats de clés publiques, en anglais)
  • Network and Certificate System Security Requirements (Exigences concernant la sécurité des réseaux et des systèmes de certificats, en anglais).

Les exigences de base SSL sont prévues dans les principes 1, 2 et 3 de ces critères d’audit. Les exigences concernant la sécurité des réseaux sont prévues au principe 4 de ces critères d’audit.

Cadre de référence pour les fournisseurs de services de certification tiers concernant la signature de code

La version 1.4 s’applique aux audits des périodes ouvertes à compter du 1er janvier 2017.  Pour les audits des périodes ouvertes avant le 1er janvier 2017, veuillez vous servir de la version 1.1.

La version 1.0 s’applique aux audits des périodes ouvertes à compter du 1er février 2017.

Pour toute demande de renseignements sur Webtrust, veuillez communiquer avec CPA Canada.