Principes et critères WebTrust

Découvrez les plus récentes versions et mises à jour des principes et critères WebTrust.

AVIS DE PUBLICATION : NOUVELLES VERSIONS ET MISES À JOUR DES PRINCIPES ET CRITÈRES WEBTRUST POUR LES AUTORITÉS DE CERTIFICATION

Le Groupe de travail sur la certification WebTrust/ICP a publié les nouvelles versions et mises à jour suivantes :

  • La version 2.2 de WebTrust Principles and Criteria for Certification Authorities (WebTrust pour les autorités de certification, en anglais), qui remplace la version 2.1. Cette nouvelle version s’applique aux audits des périodes ouvertes à compter du 1er juin 2019.
  • La version 1.6.8 de WebTrust Principles and Criteria for Certification Authorities – Extended Validation SSL (WebTrust pour les autorités de certification – Validation étendue SSL, en anglais) qui remplace la version 1.6.2. Cette nouvelle version s’applique aux audits des périodes ouvertes à compter du 1er juin 2019.
  • La version 2.4.1 de WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security (Principes et critères WebTrust pour les autorités de certification – Règles de base SSL et Sécurité réseau, en anglais), qui remplace les versions 2.3 et 2.4. Cette nouvelle version s’applique aux audits des périodes ouvertes à compter du 1er juin 2019.
  • La version 1.0 de WebTrust for Registration Authorities (WebTrust pour les autorités d’enregistrement, en anglais). Cette nouvelle version s’applique aux audits des périodes ouvertes à compter du 30 avril 2019.

Changements importants

Version 2.2 de WebTrust Principles and Criteria for Certification Authorities (WebTrust pour les autorités de certification, en anglais) :

  • Mises à jour mineures pour tenir compte de la norme ISO 21188:2018.

Version 1.6.8 de WebTrust Principles and Criteria for Certification Authorities – Extended Validation SSL (WebTrust pour les autorités de certification – Validation étendue SSL, en anglais) :

Mise à jour des critères d’audit de la validation étendue SSL effectuées pour tenir compte de la version 1.6.8 des lignes directrices concernant la validation étendue SSL (EV SSL guidelines, v1.6.8) et d’autres indications, notamment :

  • Principe 1, Critère 4 – Obligation, pour une autorité de certification (AC), de structurer ses politiques de certification et énoncés de pratique de certification selon le document RFC 3647. Le document RFC 2527 n’est plus en vigueur.
  • Principe 2, Critères 5.2 à 5.4 – Mises à jour des critères de révocation découlant des changements apportés aux règles de base SSL.

Version 2.4.1 de WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security (Principes et critères WebTrust pour les autorités de certification – Règles de base SSL et Sécurité réseau, en anglais) :

Cette version comprend des corrections mineures et des éclaircissements apportés à la version 2.4; elle s’applique à compter du 1er juin 2019.

  • Principe 2, critère 2.14 – correction d’une erreur typographique
  • Principe 4, critère 1.2 – modification pour que ce passage gagne en clarté

Version 2.4 de WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security (Principes et critères WebTrust pour les autorités de certification – Règles de base SSL et Sécurité réseau, en anglais) :

Mise à jour des critères d’audit relatifs aux règles de base SSL aux fins de conformité avec la version 1.6.2 des règles de base SSL et la version 1.2 des règles relatives à la sécurité des systèmes de certificats et des réseaux

  • Principe 1, Critère 5 – Obligation, pour une AC, de structurer ses politiques de certification et énoncés de pratique de certification selon le document RFC 3647. Le document RFC 2527 n’est plus en vigueur. 
  • Principe 2, Critère 2.14 – Ajout d’un nouveau critère afin de traiter des certificats comprenant des tirets bas. Critères 2.14 à 2.16 renumérotés de 2.15 à 2.17.
  • Principe 2, Critère 4.6 – Interdiction d’utiliser les méthodes décrites aux sections 3.2.2.4.1 et 3.2.2.4.5 pour toutes revalidations à partir du 1er août 2018. 
  • Principe 2, Critères 5.2, 5.3 et 5.4 – Mise à jour des critères de révocation et des échéanciers. 
  • Principe 4 – Mises à jour effectuées pour tenir compte du scrutin SC3 du Forum des autorités de certification et des fournisseurs de logiciels de navigation (CA/Browser Forum).

WebTrust Principles and Criteria for Registration Authorities (Principes et critères WebTrust pour les autorités d’enregistrement, en anglais) :

Ce document propose un cadre de référence pour les fournisseurs de services de certification tiers concernant l’évaluation de la pertinence et de l’efficacité des contrôles utilisés par une autorité d’enregistrement qui réalise, en sous-traitance, une partie ou l’ensemble des fonctions liées à l’enregistrement pour une autorité de certification (AC). Des indications d’audit relatives aux fonctions d’enregistrement réalisées directement, en entier, par une AC se trouvent dans le document WebTrust Principles and Criteria for Certification Authorities (WebTrust pour les autorités de certification, en anglais). Les principes et critères pour les autorités d’enregistrement s’appliquent depuis le 30 avril 2019.

AVIS : PUBLICATION D’INDICATIONS À L’INTENTION DES PRATICIENS – EXEMPLES D’APPLICATION

Le Groupe de travail sur la certification WebTrust/ICP a élaboré des exemples d’application (en anglais) visant à aider les praticiens WebTrust autorisés à préparer des rapports d’audit WebTrust selon les normes canadiennes, américaines et internationales. Ces exemples, publiés en 2017, peuvent être téléchargés sous l’onglet Indications à l’intention des praticiens.

GRILLE D’APPLICABILITÉ POUR L’AUDIT

WebTrust for Certification Authorities – Audit Applicability Matrix (WebTrust à l’intention des autorités de certification – Grille d’applicabilité pour l’audit, en anglais)
Ce document fournit des précisions sur les principales exigences en matière d’audit découlant des indications du Forum des autorités de certification et des fournisseurs de logiciels de navigation (CA/Browser Forum), entre autres. En outre, il fournit une liste des versions des différents modèles d’audit WebTrust applicables aux autorités de certification. (Mis à jour en juin 2019)

PRINCIPES ET CRITÈRES WEBTRUST POUR LES AUTORITÉS DE CERTIFICATION

Cadre de référence pour les fournisseurs de services de certification tiers concernant l’évaluation de la pertinence et de l’efficacité des contrôles utilisés par les autorités de certification (AC) (en anglais)

Cadre de référence pour les fournisseurs de services de certification tiers concernant les certificats de validation étendue (en anglais)

Cadre de référence pour les fournisseurs de services de certification tiers concernant les certificats SSL (en anglais)

Cadre de référence pour les fournisseurs de services de certification tiers concernant la signature de code

Principes et critères WebTrust pour les autorités d’enregistrement – Version 1.0

Pour toute demande concernant WebTrust, veuillez communiquer avec CPA Canada.