Baseline Requirements (BRs)

The CA/Browser Forum's

Baseline Requirements provide a
foundation for best practices
across the industry by defining a
single, consolidated set of
essential standards for all
SSL/TLS certificates. The initial
Effective Date of the BRs was 1
July 2012. Refer to the Document
History section of the BRs for
further information about BR
Effective Dates and Relevant
Compliance Dates.

Los CA / Browser requisitos

bsicos del Foro proporcionan
una base para las mejores
prcticas en la industria mediante
la definicin de un conjunto nico
y consolidado de las normas
esenciales para todos los
certificados SSL / TLS. La fecha
de vigencia inicial de la RB fue el
1 de julio de 2012. Consulte la
seccin Historial de documentos
de las reservas de biosfera para
ms informacin sobre BR fechas
y fechas de cumplimiento
pertinentes eficaces.

Los requisitos bsicos del Foro

CA / Browser proporcionan una
base para las mejores prcticas en
la industria mediante la definicin
de un conjunto nico y
consolidado de las normas
esenciales para todos los
certificados SSL / TLS. La fecha
de vigencia inicial de los RB
(Requisitos Base) fue el 1 de julio
de 2012. Consulte la seccin
Historial de las reservas de
biosfera para ms informacin
sobre fechas de cumplimiento
eficaces.

Version 2.1 of Mozilla's CA

Certificate Inclusion Policy added
the requirement that SSL

La versin 2.1 del certificado de

CA Poltica Inclusin de Mozilla
aade el requisito de que la

La versin 2.1 del Poltica de

Inclusin de certificado de CA de
Mozilla aade el requisito de que

certificate issuance also be

audited annually according to the
BRs. This means that CAs with a
root certificate included in
Mozilla's Program that has the
websites (SSL/TLS) trust bit
enabled must have their SSL
certificate issuance and operations
audited annually according to the
BRs. Additionally, any Certificate
Authority being considered for
root inclusion must have a
Baseline Requirements audit
performed if the websites trust bit
is to be enabled for the new root
certificate.
This page provides further
information about Mozilla's
expectations regarding CA
compliance with the BRs, and
auditing according to the BRs.

emisin de certificados SSL

tambin se sometan cada ao en
funcin de las reservas de
biosfera. Esto significa que las
CA con un certificado raz
incluidos en el Programa de
Mozilla que tiene los sitios web
(SSL / TLS) poco la confianza
habilitados deben tener su
emisin y operaciones certificado
SSL auditadas anualmente en
funcin de las reservas de
biosfera. Adems, cualquier
autoridad de certificacin de ser
considerados para la inclusin de
la raz debe tener una auditora de
requisitos de referencia realizado
si el bit de confianza sitios web se
va a habilitar para el nuevo
certificado raz.
Esta pgina proporciona
informacin adicional acerca de
las expectativas de Mozilla
respecto CA cumplimiento de las
reservas de biosfera, y la auditora

la emisin de certificados SSL

tambin se sometan anualmente a
auditoras de acuerdo a los RB.
Esto significa que las CA con un
certificado raz incluidos en el
Programa de Mozilla (SSL / TLS)
que tienen los sitios web
habilitados deben tener su
emisin y operaciones certificado
SSL auditadas anualmente en
funcin de los RB. Adems,
cualquier autoridad de
certificacin de ser considerados
para la inclusin en la raz debe
haber realizado una auditoria en
RB si el bit de confianza de los
sitios web se va a habilitar para el
nuevo certificado raz.
Esta pgina proporciona
informacin adicional acerca de
las expectativas de Mozilla
respecto a los CA (Autoridades de
certificacin) y su cumplimiento
con los RB, y la auditora de
acuerdo con los RB.

de acuerdo con las reservas de

biosfera.

BR Audits
As with the other audits required
of CAs in Mozilla's Program, the
BR Audit statement must be a
public-facing document. Section
6 of Mozilla's CA Certificate
Inclusion Policy says: "We
require that all CAs whose
certificates are distributed with
our software products: ... publicly
disclose information about their
policies and business practices
(e.g., in a Certificate Policy and
Certification Practice
Statement); ... provide *public
attestation* of their conformance
to the stated verification
requirements and other
operational criteria by a
competent independent party or
parties with access to details of

BR Auditoras
Al igual que con la otra las
auditoras necesarios de entidades
de certificacin en el Programa de
Mozilla, la declaracin de
Auditora BR debe ser un
documento de cara al pblico.
Artculo 6 de la CA Poltica
Inclusin Certificado de Mozilla
dice: "Requerimos que todos los
CAs cuyos certificados se
distribuyen con nuestros
productos de software: ... revelar
pblicamente informacin sobre
sus polticas y prcticas
comerciales (por ejemplo, en una
poltica de certificacin y
Declaracin de Prcticas de
Certificacin); ... proporcionar *
certificado pblico * de su
conformidad con los requisitos de
verificacin establecidos y otros

Auditoras de RB /(Requisitos
Base)
Al igual que con las otras
auditoras requeridas para
entidades de certificacin en el
Programa de Mozilla, la
declaracin de una Auditora de
RB debe ser un documento
pblico. El Artculo 6 de la
Poltica Inclusin Certificado de
Mozilla para CA dice:
"Requerimos que todos los CA
cuyos certificados se distribuyen
con nuestros productos de
software: ... revelen pblicamente
informacin sobre sus polticas y
prcticas comerciales (por
ejemplo, en una poltica de
certificacin y Declaracin de
Prcticas de Certificacin); ...
proporcionar *certificado
pblico* de su conformidad con
los requisitos de verificacin

the CAs internal operations."

criterios operacionales por un

partido independiente competente
o partes con acceso a los detalles
de las operaciones internas de la
CA ".

establecidos y otros criterios

operacionales por un grupo
independiente competente o
partes con acceso a los detalles de
las operaciones internas de la CA
".

As previously stated, it is
acceptable for an audit statement
to list the BRs that the CA is not
yet fully in compliance with.
However, this may result in an
auditor providing information in
the BR audit statement that the
CA considers sensitive (e.g.
subordinate CA specifics, RA
information, customer
information, or security sensitive
information). Each CA must work
with their auditor to create a
public-facing BR audit statement
that does not have information in
it that the CA considers sensitive,
but that sufficiently lists the BRs
that the CA is still working to
conform with.

Como se dijo anteriormente, es

aceptable para un informe de
auditora a la lista de las reservas
de biosfera que el CA no est
todava plenamente en el
cumplimiento de. Sin embargo,
esto puede resultar en una
informacin auditor que en el
informe de auditora BR que el
CA considera sensibles (por
ejemplo, detalles subordinadas
CA, informacin RA, informacin
de clientes o informacin sensible
de seguridad). Cada CA debe
trabajar con su auditor para crear
una declaracin de auditora BR
de cara al pblico que no tiene la
informacin en ella que la CA
considera sensible, pero que

Como se dijo anteriormente, es

aceptable para un informe de
auditora numerar los RB que el
CA no est todava en
cumplimiento. Sin embargo, esto
puede resultar en un auditor
dando informacin que el informe
de auditora de RB considera
sensibles por el CA (por ejemplo,
detalles de ubordinados al CA,
informacin RA, informacin de
clientes o informacin sensible de
seguridad). Cada CA debe trabajar
con su auditor para crear una
declaracin de la auditora de RB
pblica que no contenga la
informacin considerada como
sensible, pero que enumere
suficientemente los RB que el

Here are some examples of the

level of information that should
be included in the BR audit
statement in regards to BRs that
the CA is not yet fully conforming
to.

suficientemente enumera los BRs

que el CA an est trabajando
para cumplir con.

CA an est trabajando para

cumplir.

He aqu algunos ejemplos de el

nivel de informacin que deben
incluirse en el informe de
auditora de la BR en cuanto a las
reservas de biosfera que la CA
an no se ajusten completamente
a.

He aqu algunos ejemplos de el

nivel de informacin que debe
incluirse en el informe de
auditoria en cuanto a RB que el
CA no est completamente
conforme.

BR 9.5 - certs 1024 bits con

validez ms all de 2013 (con el
fin de apoyar las aplicaciones de
los clientes legado)

RB 9.5 certificados de 1024

bits con validez ms all de 2013
(con el fin de soportar las
aplicaciones antiguas de los
clientes)

BR 9.5 1024-bit certs

with validity beyond 2013
(in order to support legacy
customer apps)

BR 13.2.6 - OCSP dando estado

BR 13.2.6 - OCSP giving
status good for unknown "bueno" para los nmeros de serie
desconocidos.
serial numbers.

RB 13.2.6 - OCSP dando visto

"bueno" a nmeros de serie
desconocidos.

BR 16.5 - multi-factor
authentication for all
accounts capable of
directly causing certificate
issuance

BR 17.5 - The audit period BR 17.5 - El perodo de la

auditora para el Tercer Partido
for the Delegated Third
delegadas no superior a un ao
Party SHALL NOT
exceed one year

BR 17.8 audits on at
least a quarterly basis
against a randomly
selected sample of the
greater of one certificate
or at least three percent
of the Certificates issued
by it during the period
commencing immediately
after the previous selfaudit sample was taken

BR 16.5 - autenticacin de
mltiples factores para todas las
cuentas capaces de causar
directamente la emisin de
certificados

BR 17.8 - auditoras de al menos

trimestralmente en relacin con
una muestra seleccionada al azar
de la mayor de un certificado o
por lo menos el tres por ciento de
los certificados emitidos por ella
durante el perodo que comienza
inmediatamente despus de que se
tom la muestra anterior autoauditora

RB 16.5 - autenticacin de
mltiples factores para todas las
cuentas capaces de hacer
directamente la emisin de
certificados

RB 17.5 - El perodo de la
auditora delegado a un
contratado externo no debe
exceder un ao

RB 17.8 auditoras como

mnimo trimestrales en relacin
con una muestra seleccionada al
azar de una gran parte de un
certificado o por lo menos el tres
por ciento de los certificados
emitidos por el durante el perodo
que comienza inmediatamente
despus de que se tom la
muestra anterior de la autoauditora.

BR 11.2 re-verifying
identity for cert renewal
requests

RFC 5280
A BR audit must include checks
to verify that the root,
intermediate, and SSL certificates
conform to RFC 5280. Given that
the BRs normatively incorporate
RFC 5280, auditors MUST be
checking compliance in order to
evaluate whether or not a given
certificate conforms to the BRs.

BR section 4: "Valid Certificate:

A Certificate that passes the
validation procedure specified in

BR 11.2 - re-verificacin de
identidad para las solicitudes de
renovacin cert

RB 11.2 - re-verificacin de
identidad para las solicitudes de
renovacin de certificados.

RFC 5280

RFC 5280

Una auditora BR deber

incluir controles para verificar
que la raz, y los certificados
SSL intermedios cumplen la
norma RFC 5280. Teniendo en
cuenta que la RB incorporan
normativamente
cumplimiento RFC 5280, los
auditores deben estar
revisando con el fin de
evaluar si es o no un
certificado determinado se
ajusta a la RB .

Una auditora de RB deber

incluir controles para verificar
que la raz, los intermediarios y
los certificados SSL cumplen la
norma RFC 5280. Teniendo en
cuenta que los RB incorporan
normativamente el RFC 5280, los
auditores deben estar revisando
con el fin de evaluar si un
certificadodado se ajusta a los
RB.

BR seccin 4: "Certificado
Vlido: Un certificado que pasa el
procedimiento de validacin

Seccin 4 de RB: "Certificado

Vlido: Un certificado que pasa el
procedimiento de validacin

RFC 5280."

especificado en el RFC 5280."

especificado en el RFC 5280."

BR Appendix B:

BR Apndice B:

RB Apndice B:

"Todos los dems campos y

"All other fields and
extensions MUST be set in extensiones deber ser fijado de
acuerdo con RFC 5280."
accordance with RFC
5280."
o Nota: Los "campos" incluye
campos no extensin.
o Note: "fields"

"Todos los dems campos y

extensiones debern ser fijados de
acuerdo con RFC 5280."
o Nota: Los "campos" incluyen
campos de no-extensin.

includes nonextension fields.

"Non-critical Name
Constraints are an
exception to RFC 5280
(4.2.1.10), however, they
MAY be used..."

RFC 5280 is clear as a profile of

"restricciones de nombres no
crticos son una excepcin a RFC
5280 (4.2.1.10), sin embargo,
pueden ser utilizados ..."

"Restricciones de nombres no
crticos son una excepcin a la
RFC 5280 (4.2.1.10), sin
embargo, estos pueden ser
utilizados ..."

RFC 5280 es clara como un perfil

de lo que constituye un certificado La RFC 5280 es clara como un
X.509 PKIX "vlidos". Los
perfil de lo que constituye un

what constitutes a 'valid' PKIX

X.509 certificate. Fields that fail
to adhere to the technical
requirements do not conform to
the BRs. For example, RFC 5280
Section 4.1.2.2: "The serial
number MUST be a positive
integer assigned by the CA to
each certificate. It MUST be
unique for each certificate issued
by a given CA (i.e., the issuer
name and serial number identify a
unique certificate). CAs MUST
force the serialNumber to be a
non-negative integer."

campos que no se adhieran a los

requisitos tcnicos no se ajustan a
la RB. Por ejemplo, RFC 5280
Seccin 4.1.2.2:. "El nmero de
serie debe ser un nmero entero
positivo asignado por la CA para
cada certificado debe ser nico
para cada certificado emitido por
una CA dada (es decir, el nombre
del emisor y nmero de serie
identifican un certificado nico).
CA debe forzar la serialNumber
ser un entero no negativo ".

certificado PKIX X.509 vlido".

Los campos que no se adhieran a
los requisitos tcnicos no se
ajustan a los RB. Por ejemplola
Seccin 4.1.2.2 del RFC 5280:.
"El nmero de serie debe ser un
nmero entero positivo asignado
por la CA para cada certificado.
Debe ser NICO por cada
certificado emitido por un CA
dada (es decir, el nombre del
emisor y nmero de serie
identifican un certificado nico).
El CA debe forzar un nmero de
serie entero no negativo ".

Whole-Population
Audit of
Intermediate Certs

Auditora Poblacin Total de

Certificados Intermedios

Auditora de la Poblacin Total de

Certificados Intermedios

BR Audits must always include

BR auditoras deben incluir

Las Auditoras en RB deben

the whole-population audit of

intermediate certificates that are
capable of issuing SSL certs. The
CA's roots and all of their
intermediate certificates (that are
capable of issuing SSL certs)
must always be audited for
conformance to the stated
standards. In the BR audit,
sampling can be used only for
end-entity certificates.

siempre la auditora integral de la

poblacin de los certificados
intermedios que son capaces de
emitir certificados SSL. Las races
de la CA y todos sus certificados
intermedios (que son capaces de
emitir certificados SSL) siempre
deben ser auditados por la
conformidad con las normas
establecidas. En la auditora BR,
el muestreo slo se puede utilizar
para los certificados de entidad
final.

incluir siempre la auditora

integral de la poblacin de los
certificados intermedios que sean
capaces de emitir certificados
SSL. Las races los CA y todos
sus certificados intermedios (que
son capaces de emitir certificados
SSL) siempre deben ser auditados
para la conformidad con las
normas establecidas. En la
auditora RB, el muestreo slo se
puede utilizar para los certificados
de entidad final.

Auditing of root and intermediate

certificates must include checking
compliance with the BRs and with
RFC 5280. For example:

Auditora de certificados raz e

intermedios debe incluir verificar
el cumplimiento de los
Reglamentos de base y con RFC
5280. Por ejemplo:

La Auditora de certificados raz e

intermedios debe incluir verificar
el cumplimiento de los RB y con
RFC 5280. Por ejemplo:

Intermediate certificates
must be checked for
duplicate serial numbers,
which is forbidden by
section 4.1.2.2 of RFC
5280.

Los certificados intermedios

deben ser revisados para los
nmeros de serie duplicados, lo
cual est prohibido por el artculo
4.1.2.2 de la RFC 5280.

Los certificados intermedios

deben ser revisados para los
nmeros de serie duplicados, lo
cual est prohibido por el artculo
4.1.2.2 de la RFC 5280.
Los algoritmo de cifrado y

Cryptographic algorithm
and key sizes must meet
BR Appendix A.

algoritmo de cifrado y tamaos

de clave deben cumplir BR
Apndice A.

Certificate Extension must Extensin certificado debe

comply with BR Appendix cumplir con BR Apndice B.
B.
Los certificados intermedios
deben o bien ser tcnicamente
Intermediate certificates
must either be technically limitados o pblicamente
divulgado y auditados como se
constrained or publicly
describe en la Poltica de
disclosed and audited as
described in Mozilla's CA certificado de CA de Inclusin de
Mozilla y secciones BR 9,7 y 17.
Certificate Inclusion

Policy and BR sections 9.7

Definicin: Un certificado
and 17.
intermedio que no tiene una
extensin Uso de clave extendida
Definition: An intermediate
(EKU), tiene id-kp-serverauth
certificate that does not have an
extendi el uso de claves, o la ha
Extended Key Usage (EKU)
anyExtendedKeyUsage
extension, has id-kp-serverAuth
KeyPurposeID se considera capaz
extended key usage, or has the
de emitir los certificados SSL.
anyExtendedKeyUsage
KeyPurposeId is considered
capable of issuing SSL
certificates.

tamaos de clave deben cumplir

los RB Apndice A.
La Extensin de certificados
debe cumplir con los RB
Apndice B.
Los certificados intermedios
deben o bien ser tcnicamente
limitados o pblicamente
divulgados y auditados como se
describe en la Poltica de
certificado de CA de Inclusin de
Mozilla y secciones RB 9.7 y 17.
Definicin: Un certificado
intermedio que no tiene una
extensin de Uso de clave
extendida (EKU), tiene uso de
claves id-kp-serverauth extendido,
o tiene el anyExtendedKeyUsage
KeyPurposeID se considera
capaz de emitir los certificados
SSL.

All root and intermediate

certificates must be audited
according to the Baseline
Requirements, and end entity
certificates may be audited on a
sample basis. For the diagram (1):

Todos los certificados raz e

intermedios deben ser auditados
de acuerdo con los requisitos de
base, y certificados de entidad
final pueden ser auditadas por
muestreo. Para el diagrama (1):

Todos los certificados raz e

intermedios deben ser auditados
de acuerdo con los RB, y
certificados de entidad final
pueden ser auditadas por
muestreo. Para el diagrama (1):

Public Root CA must be

audited

CA raz pblica debe ser

auditado

La raz pblica del CA debe ser

auditada.

Sub CA 1 which issues

SSL certificates would be
subject to audit, PLUS its
end-entity certificates
would need to be audited
at least on a sample basis

Sub CA 1, que emite los

certificados SSL estaran sujetos a
auditora, ms sus certificados de
entidad final tendra que ser
auditado al menos por muestreo

Sub CA 1, quien emite

certificados SSL estaran sujetos a
auditora, incluyendo sus
certificados de entidad final
tendra que ser auditados al menos
por muestreo

Sub CA 2, with an EKU

that allows SSL
certificates, would be
subject to audit, PLUS its
end-entity certificates as
well to verify that no SSL
certificates have been

Sub CA 2, con un EKU que

permite certificados SSL, estara
sujeta a la auditora, ms sus
certificados de entidad final as
para verificar que no hay
certificados SSL se han emitido.
Sub CA 3, operado por ABC

Sub CA 2, con un EKU que

permite certificados SSL, estara
sujeta a la auditora, ms sus
certificados de entidad final as
para verificar que no hay
certificados SSL se han emitido.

issued.

Corp, est sujeta a auditora

Sub CA 3, operated by
ABC Corp, is subject to
audit

Sub CA 3a PLUS sus conciertos

de entidad final estn sujetas a
auditora

Sub CA 3b est sujeta a

auditora, pero no sus certificados
de entidad final porque el EKU
restringe a SMIME solo
Sub CA 4, operado por XYZ
Sub CA 3b is subject to
audit, but not its end-entity Corp, est sujeta a auditora, pero
no sus certificados de entidad
certificates because the
final porque Sub CA 4 es
EKU restricts to SMIME
tcnicamente limitados en lnea
only
con las RB
Sub CA 3a PLUS its endentity certs are subject to
audit

Sub CA 4, operated by
XYZ Corp, is subject to
audit, but not its end-entity
certificates because Sub
CA 4 is technically
constrained in line with
BRs

The colors in the diagram

represent the following:

Los colores en el diagrama

representan lo siguiente:
Verde - Todos los certificados
verdes estn en pleno alcance,
deben ser auditados. Certs Endentidad pueden ser muestreados.
Amarillo - El certificado de CA

Sub CA 3, operado por ABC

Corp, est sujeta a auditora
Sub CA 3a PLUS y sus
certificados de entidad final estn
sujetas a auditora
Sub CA 3b est sujeta a
auditora, pero no sus certificados
de entidad final porque el EKU
est restringido a SMIME
nicamente.
Sub CA 4, operado por XYZ
Corp, est sujeta a auditora, pero
no sus certificados de entidad
final porque Sub CA 4 es
tcnicamente limitada por sus RB.
Los colores en el diagrama
representan lo siguiente:
Verde - Todos los certificados
verdes estn en pleno alcance,
deben ser auditados. Sus
certificados de entidad final

Green -- All green

certificates are in full
scope, must be audited.
End-entity certs may be
sampled.
Yellow -- The subordinate
CA certificate is in scope
of audit, but the
certificates below it are
not in scope.

Red -- The certificates that

are not in scope of audit.

Blue -- The blue

certificates should not be
in scope, but since the
subordinate CA certificate
did not have the EKU to
prevent SSL certificate
issuance, the auditor must
perform procedures to
confirm that there are no
SSL certificates.

subordinada est en el mbito de

la auditora, pero los certificados
de abajo no son de alcance.
Rojo - Los certificados que no
estn en el mbito de la auditora.
Azul - Los certificados azules no
debe estar en su alcance, pero ya
que el certificado CA subordinada
no tena el EKU para evitar la
emisin de certificados SSL, el
auditor deber realizar
procedimientos para confirmar
que no hay certificados SSL.

pueden ser muestreados.

Amarillo - El certificado de CA
subordinada est en el mbito de
la auditora, pero los certificados
de abajo no.
Rojo - Los certificados que no
estn en el mbito de la auditora.
Azul - Los certificados azules no
deberan estar en la mira de la
auditora, pero ya que el
certificado CA subordinado no
tena el EKU para evitar la
emisin de certificados SSL, el
auditor deber realizar
procedimientos para confirmar
que no hay certificados SSL.

DIAGRAM 1

WebTrust BR Audit Statement

Declaracin de Auditora WebTrust BR

Mozilla accepts the following BR Criteria provided by WebTrust:

Mozilla acepta los siguientes criterios BR

proporcionados por WebTrust:

Principles and Criteria - SSL Baseline Requirements Version

1.1. (Amended) (Superseded)

WebTrust Principles and Criteria for Certification Authorities

SSL Baseline with Network Security Version 2

The audit statement must specify the audit period dates, and that the
audit was based on the "AICPA/CICA WebTrust for Certification
Authorities SSL Baseline Requirements Audit Criteria" or the
"WebTrust Principles and Criteria for Certification Authorities SSL
Baseline with Network Security". It is recommended that the audit
statement include the version of the criteria that was used.
The BR audit statement may be included in the same pdf file as the

Principios y Criterios - Requisitos SSL

previsto de versin 1.1. (Modificada)
(Obsoleta)
Principios y Criterios WebTrust para
Autoridades de Certificacin - SSL lnea
de base con seguridad de la red - Versin 2
El informe de auditora debe especificar
las fechas del perodo de auditora, y que
la auditora se bas en el "AICPA / CICA
WebTrust para Autoridades de
Certificacin - Requisitos SSL basales
criterios de auditora" o los "Principios y

Declaracin sobre
Auditora en RB por
WebTrust
Mozilla acepta los
siguientes criterios de
RB proporcionados por
WebTrust:
Principios y Criterios Requisitos SSL previstos
versin 1.1.
(Modificada) (Obsoleta)
Principios y Criterios
WebTrust para
Autoridades de
Certificacin (CA) SSL lnea de base con

WebTrust for Certification Authorities audit statement.

The BR audit statement may be qualified and list BRs that the CA is
not yet in compliance with. The second BR audit (the following year)
is expected to confirm that the issues that were listed in the previous
BR audit have been resolved.
Definition: A qualified audit statement is issued when the auditor
encountered one or more instances in which the CA does not comply
with the audit criteria, however the CA is in compliance with the rest
of the audit criteria.

Extended Validation

PROPOSED Text -- under discussion in

mozilla.dev.security.policy

If the root certificate is enabled for EV treatment, then the following

three public-facing audit statements are required annually:
1. WebTrust CA -- WebTrust Principles and Criteria for
Certification Authorities
2. WebTrust BR -- WebTrust Principles and Criteria for
Certification Authorities SSL Baseline with Network
Security (or Principles and Criteria - SSL Baseline

Criterios WebTrust para Autoridades de

Certificacin - SSL lnea de base con
seguridad de la red" . Se recomienda que
la declaracin de auditora incluyen la
versin de los criterios que se utiliz.
La declaracin de auditora BR se puede
incluir en el mismo archivo pdf como la
WebTrust para Autoridades de
Certificacin de declaracin de auditora.
La declaracin de auditora BR puede ser
RB calificados y de lista que el CA an no
es en cumplimiento de. Se espera que la
segunda auditora BR (del ao siguiente)
para confirmar que las cuestiones que se
enumeran en la auditora BR anterior se
han resuelto.
Definicin: Se emite una declaracin de
auditora con salvedades cuando el auditor
encontr una o ms instancias en las que el
CA no cumple con los criterios de
auditora, sin embargo, el CA est
cumpliendo con el resto de los criterios de
auditora.

seguridad de la red Versin 2

El informe de auditora
debe especificar las
fechas del perodo de
auditora, y que la
auditora se bas en el
"AICPA / CICA
WebTrust para
Autoridades de
Certificacin criterios
de auditora para
Requisitos base SSL " o
los "Principios y
Criterios WebTrust para
Autoridades de
Certificacin
Lneamientos base SSL
con seguridad de la
red" . Se recomienda
que la declaracin de
auditora incluya la
versin de los criterios
que se utiliz.

Requirements)

Extended Validation

3. WebTrust EV -- WebTrust Principles and Criteria for

propuso un texto - en discusin en
Certification Authorities Extended Validation SSL (or
mozilla.dev.security.policy
Principles and Criteria for Certification Authorities Extended
Si el certificado raz est habilitada para el
Validation Audit Criteria)
tratamiento EV, entonces se requieren las
tres declaraciones de auditora orientacin
al pblico anualmente siguientes:
1. WebTrust CA - Principios y Criterios
para Entidades de certificacin WebTrust
2. WebTrust BR - Principios WebTrust y
Criterios para autoridades de certificacin
SSL - Lnea de base con seguridad de la
red (o Principios y Criterios - Requisitos
SSL de lnea de base)
3. WebTrust EV - Principios y Criterios
para Entidades de certificacin WebTrust Extended Validation SSL (o Principios y
Criterios para Autoridades de Certificacin
- Extended criterios de auditora de
validacin)

La declaracin de
auditora en RB puede
incluir en el mismo
archivo pdf como la
WebTrust para
Autoridades de
Certificacin de
declaracin de auditora.
La declaracin de
auditora en RB puede
estar calificado y
nombrar los RB con los
que el CA que el CA an
no est en
cumplimiento. Se espera
que la segunda auditora
RB (del ao siguiente)
para confirmar que las
cuestiones que se
enumeran en la auditora
anterior se han resuelto.
Definicin: Se emite una
declaracin de auditora
CALIFICADA cuando

el auditor encontr una o

ms instancias en las
que el CA no cumpli
con los criterios de
auditora, sin embargo,
est cumpliendo con el
resto de los criterios de
auditora.
Validacin Extendida.
TEXTO PROPUESTO
- en discusin en
mozilla.dev.security.poli
cy
Si el certificado raz est
habilitada para el
tratamiento EV, entonces
se requieren tres
declaraciones de
auditora al pblico de
manera anual:
1. WebTrust CA Principios y Criterios

para Entidades de
certificacin WebTrust
2. WebTrust BR Principios WebTrust y
Criterios para
autoridades de
certificacin SSL Lnea Base en seguridad
de la red (o Principios y
Criterios Requisitos
base)
3. WebTrust EV Principios y Criterios
para Entidades de
certificacin WebTrust
Validacin extendida
SSL (o Principios y
Criterios para
Autoridades de
Certificacin Criterios
extendidos en auditora
de validacin)
However, if the CA hierarchy can only be used for EV certificates, the

Sin embargo, si la jerarqua de CA slo se

Sin embargo, si la

CP/CPS clearly states this, and an annual scan of the certificate

database proves that all end-entity certificates have the EV policy
OID, then a separate WebTrust BR audit statement is not needed
because it is encompassed within the WebTrust EV audit. In other
words, the WebTrust EV audit statement will also suffice as the
WebTrust BR audit statement.

puede utilizar para certificados EV, el /

CPS establece claramente esto, y una
exploracin anual de la base de datos del
certificado demuestra que todos los
certificados de entidad final tienen la OID
poltica EV, a continuacin, una
declaracin de auditora BR WebTrust
separada CP no es necesario, ya que se
engloba dentro de la auditora EV
WebTrust. En otras palabras, la
declaracin de auditora EV WebTrust
tambin ser suficiente que la declaracin
de auditora BR WebTrust.

jerarqua de CA slo se
puede utilizar para
certificados EV, el
CP/CPS establece
claramente esto, y una
exploracin anual de la
base de datos certificada
demuestra que todos los
certificados de entidad
final tienen la poltica de
validacin extendida
(EV) en la OID y por
tanto, una declaracin de
auditora RB WebTrust
no es necesario, ya que
se engloba dentro de la
auditora EV (validacin
extendida) WebTrust. En
otras palabras, la
declaracin de auditora
EV WebTrust ser
suficiente ya que incluye
la declaracin de
auditora webtrust en
RB.

Regarding "the CP/CPS clearly states this," the audited CP/CPS

would have to say something to the effect of: "All certificates issued
underneath this hierarchy will always have the EV policy OID, and
when the EV policy OID is present, we followed our EV policy". In
other words, it would not be sufficient for the CP/CPS to say "If this
EV policy OID is present, we followed our EV policy".

En cuanto a "la CP / CPS establece

claramente esto," los CP / CPS auditados
tendran que decir algo en el sentido de:
"Todos los certificados emitidos bajo esta
jerarqua siempre tendr la OID poltica
EV, y cuando el OID poltica EV est
presente, seguimos nuestra poltica EV ".
En otras palabras, no sera suficiente para
que la CP / CPS decir "Si este OID poltica
EV est presente, seguimos nuestra
poltica EV".

En cuanto a "la CP /
CPS establece
claramente esto," los
CP / CPS auditados
tendran que decir algo
en el sentido de: "Todos
los certificados emitidos
bajo esta jerarqua
siempre tendrn la
poltica de validacin
extendida (EV) en la
OID, y cuando el OID
poltica EV est
presente, seguimos
nuestra poltica EV ". En
otras palabras, no sera
suficiente que el CP /
CPS diga "Si esta
poltica de validacin
extendida OID est
presente, seguimos
nuestra poltica de
validacin extendida".

ETSI BR Audit Statement/Certificate

Declaracin de Auditora ETSI BR /

Certificado

Declaracin de
Auditora ETSI RB /

According to section 11 of Mozilla's CA Certificate Inclusion Policy,

when the websites trust bit is enabled, the only ETSI criteria that is
acceptable to Mozilla is ETSI TS 102 042 V2.3.1 or later (as
applicable to the "EVCP" and "EVCP+" certificate policies, DVCP
and OVCP certificate policies for publicly trusted certificates baseline requirements, and any of the "NCP", "NCP+", or "LCP"
certificate policies). ETSI TS 101 456 audit criteria is not sufficient
for CA whose root certificate has the websites (SSL/TLS) trust bit
enabled; ETSI TS 101 456 may only be used for email certificates.

De acuerdo con el artculo 11 de

Certificado CA Poltica de Inclusin de
Mozilla, cuando el bit de confianza sitios
web est habilitada, el nico criterio ETSI
que sea aceptable para Mozilla es ETSI TS
102 042 v2.3.1 o posterior (en funcin de
la "EVCP" y "EVCP +" polticas de los
certificados, DVCP y polticas de los
certificados OVCP de certificados de
confianza del pblico - requisitos bsicos,
y ninguno de los "PNC", polticas de los
certificados "LCP") "PNC +", o. ETSI TS
101 456 criterios de auditora no es
suficiente para la CA cuyo certificado raz
tiene los sitios web de bits (SSL / TLS)
confianza habilitada; ETSI TS 101 456
slo puede utilizarse para los certificados
de correo electrnico.

Certificado
De acuerdo con el
artculo 11 de Poltica de
Inclusin de Certificado
CA de Mozilla, cuando
el bit de confianza sitios
web est habilitada, el
nico criterio ETSI
aceptable para Mozilla
ser el ETSI TS 102 042
v2.3.1 o posterior (en
funcin de las polticas
de certificados "EVCP"
y "EVCP +", DVCP y
OVCP certifican
polticas para
certificados de confianza
pblicos - requisitos
bsicos, y cualquiera de
las, polticas de
certificados "LCP"
"NCP" "NCP+"). Los
criterios de auditora
ETSI TS 101 456 NO
son suficientes para los

CA cuyo certificado raz

tienen sitios web de bits
de confianza habilitados
(SSL / TLS); ETSI TS
101 456 slo puede
utilizarse para los
certificados de correo
electrnico.

Note: ETSI TS 101 456 has not been modified/updated to

meet the Baseline requirements, but in ETSI they are
developing a new set of standards that will replace the TS 102
042 and 101 456, and for all of these the Baseline
requirements will be taken into account in case the scope of
the BRs ever go beyond the SSL certs and affect all type of
certs used in a web browser.

Nota: ETSI TS 101 456 no ha sido

modificado / actualizado para cumplir con
los requisitos de lnea de base, pero en
ETSI estn desarrollando un nuevo
conjunto de normas que reemplazar al TS
102 042 y 101 456, y para todos estos los
requisitos de lnea de base debe tenerse en
cuenta en caso de que el alcance de las
reservas de biosfera nunca ir ms all de
los certificados SSL y afecta a todo tipo de
conciertos utilizados en un navegador web.

Nota: ETSI TS 101

456 no ha sido
modificado / actualizado
para cumplir con los RB,
pero en ETSI estn
desarrollando un nuevo
conjunto de normas que
reemplazar al TS 102
042 y 101 456, y para
todos estos RB debe
tenerse en cuenta en
caso de que el alcance
de los RB no pueden ir
ms all de los
certificados SSL y
afectar a todo tipo de
certificados utilizados en

un navegador web.
For an ETSI TS 102 042 certificate to be accepted as a BR audit
statement, the certificate must include PTC-BR and must be of
version 2.3.1 or later. Note: PTC-BR stands for "Publicly Trusted
Certificates - Baseline Requirements"

Para un certificado de ETSI TS 102 042

para ser aceptado como una declaracin de
auditora BR, el certificado debe incluir
PTC-BR y debe ser de la versin 2.3.1 o
posterior.
Nota: PTC-BR significa "Certificados de
Empresa de confianza - Requisitos de
referencia"

Para que un certificado

de ETSI TS 102 042 sea
aceptado como una
declaracin de auditora
RB, el certificado debe
incluir PTC-BR y debe
ser de la versin 2.3.1 o
posterior.
Nota: PTC-BR significa
Certificados
pblicamente confiables
Requisitos Base
(Publicly Trusted
Certificates - Baseline
Requirements)

Mozilla also requires evidence of annual surveillance audits, as

required in order to keep the ETSI certificate valid. The statement of
annual surveillance audit must include the dates over which the audit
was performed, and the version of the audit criteria that was used.

Mozilla tambin requiere evidencia de

auditoras anuales de vigilancia, segn se
requiera con el fin de mantener la validez
del certificado de ETSI. La declaracin de
la auditora anual de vigilancia debe
incluir las fechas sobre las que se realiz la
auditora, y la versin de los criterios de

Mozilla tambin
requiere evidencia de
auditoras anuales de
vigilancia, ya que se
requiere con el fin de
mantener la validez del
certificado ETSI. La

auditora que se utiliz.

ETSI Information/Resources:

declaracin de la
auditora anual de
vigilancia debe incluir
las fechas en las que se
realiz la auditora, y la
versin de los criterios
de auditora que se
utilizaron.

Recursos de informacin ETSI

http://www.etsi.org/index.php/technologiesclusters/technologies/security/certification-authorities-andother-trust-service-providers

http://www.etsi.org/index.php/technologiesclusters/technologies/security/certification-authorities-andother-trust-service-providers

http://portal.etsi.org/TBSiteMap/ESI/TrustServiceProviders.as
px

http://portal.etsi.org/TBSiteMap/ESI/TrustServiceProviders.as
px

A CA's First BR
Audit
We previously said: "Any
Certificate Authority being
considered for root inclusion after
February 15, 2013 must comply
with Version 2.1 or later of
Mozilla's CA Certificate Policy.
This includes having a Baseline
Requirements audit performed if
the websites trust bit is to be
enabled. *Note that the CA's
first Baseline Requirements

Primero BR Auditora de un CA
Anteriormente dijimos: "Toda
autoridad de certificacin
pendiente de inscripcin raz
despus de 15 de febrero 2013
deben cumplir con la versin 2.1
o posterior de la Poltica de
certificado de CA de Mozilla Esto
incluye tener una auditora de
requisitos bsicos a cabo si el bit
de confianza sitios web se va a
habilitar. *. Tenga en cuenta que
la primera auditora requisitos
bsicos de la CA puede ser un

Primera Auditora en RB de un
CA
Anteriormente dijimos: "Toda
autoridad de certificacin
pendiente de inscripcin raz
despus de 15 de febrero 2013
debe cumplir con la versin 2.1 o
posterior de la Poltica de
certificado de CA de Mozilla.
Esto incluye tener una auditora
de RB a cabo si el bit de
confianza de sitios web se va a
habilitar. *. Tenga en cuenta que
la primera auditora en RB del CA

audit may be a Point in Time

audit.*"

punto en la auditora de tiempo. *

"

puede ser una auditoria en un

momento especfico* "

To clarify, if the root certificate is

not yet in production and is not
yet issuing certificates to
customers, then a Point in Time
Readiness Assessment of BR
compliance (BR PITRA) may be
used. In this case a BR PITRA
prior to inclusion may be used,
but the next annual audit after
inclusion would need to be a full
performance audit.

Para aclarar, si el certificado raz

no est an en la produccin y, sin
embargo no es la emisin de
certificados a los clientes, a
continuacin, un punto en el
tiempo Evaluacin de la
preparacin de la BR
cumplimiento (BR PITRA) se
puede utilizar. En este caso, un
BR PITRA antes de la inclusin
puede ser utilizado, pero la
prxima auditora anual, tras la
inclusin tendra que ser una
auditora de gestin completa.

Para aclarar, si el certificado raz

no est an en la produccin y no
est emitiendo certificados a los
clientes, entonces una valoracin
de la preparacin de conformidad
con los RB (BR PITRA) se puede
utilizar. En este caso, un BR
PITRA antes de la inclusin
puede ser utilizado, pero la
prxima auditora anual tras la
inclusin tendra que ser una
auditora de rendimiento
completa.

Note: If the inclusion process

spans more than one annual audit
cycle, then more than one BR
PITRA may be used, until the root
certificate has been included or
the root certificate is put into
operation producing certificates
for customers, whichever comes
first.

Nota: Si el proceso de inclusin

Nota: Si el proceso de inclusin
se extiende por ms de un ciclo
se extiende por ms de un ciclo
anual de auditora, a continuacin,
anual de auditora, a continuacin, ms de un BR PITRA puede ser
ms de un BR PITRA puede ser
utilizada, hasta que el certificado
utilizada, hasta el certificado raz
raz se haya incluido o el
se ha incluido o el certificado raz certificado raz se ponga en

se pone en funcionamiento la
produccin de certificados para
los clientes, lo que ocurra
primero.

funcionamiento al producer
certificados para los clientes, lo
que ocurra primero.

En general, hay 4 escenarios

cuando se puede utilizar una
auditora en RB en un momento
dado:

En general, hay 4 escenarios

cuando se puede utilizar una
auditora en RB en un momento
dado:

1. An organization is
standing up a CA for the
first time, wants to issue
public SSL certs, so the
first audit would be point
in time, with all
subsequent audits being
period of time.

1. Una organizacin est

recibiendo a un CA por primera
vez, quiere emitir certificados
SSL pblicos, por lo que la
primera auditora especfica, con
todas las auditoras posteriores
siendo en un momento dado.

1. Una organizacin est

recibiendo a un CA por primera
vez, quiere emitir certificados
SSL pblicos, por lo que la
primera auditora especfica, con
todas las auditoras posteriores
siendo en un momento dado.

2. A private CA who has

been issuing SSL
certificates (for example,
an internal Enterprise CA)
wants to be included in a
root programme (or be
cross-certified to an
existing public CA) would

2. Una entidad emisora privada

que ha estado emitiendo
certificados SSL (por ejemplo, un
CA Enterprise interna) quiere ser
incluido en un programa de root
(o estar con certificacin cruzada
a una CA pblica existente)
tendra un punto en la auditora

2. Una entidad autorizada privada

que ha estado emitiendo
certificados SSL (por ejemplo,
una empresa CA interna) quiere
ser incluido en un programa raz
(o estar con certificacin cruzada
a una CA pblica existente)
debera tener una auditoria en RB

In general, there are 4 scenarios

when a point-in-time BR audit
may be used:

have a point in time BR

audit as part of their
preparation activities for
going public and
subsequent audits as
period of time.
3. A public CA who has
never issued SSL
certificates (and their Root
CA certificate is not
trusted for SSL) wants to
build an SSL hierarchy
and begin issuing SSL
certs the first audit can
be point in time and all
subsequent audits period
of time
4. Any CA who has received
a qualified BR audit
opinion (i.e. failing
criteria) for its regular
period of time audit and
then conducts remediation
may want a point in time

BR vez como parte de sus

actividades de preparacin para 'ir
pblicos "auditoras y posteriores
como perodo de tiempo.

en un momento dado como parte

de sus actividades de preparacin
para hacerse pblicos y
auditorias posteriors en el futuro.

3. Una entidad de certificacin

pblica que nunca ha emitido
certificados SSL (y su certificado
de CA raz no es de confianza
para SSL) quiere construir una
jerarqua SSL y comenzar a
emitir certificados SSL - la
primera auditora puede ser el
punto en el tiempo y todo perodo
de auditoras posteriores de
tiempo

3. Una entidad de certificacin

pblica que nunca ha emitido
certificados SSL (y su certificado
de CA raz no es de confianza
para SSL) quiere construir una
jerarqua SSL y comenzar a emitir
certificados SSL - la primera
auditora puede ser especfica y
todas las auditoras subsequentes
especificas tambin.

4. Cualquier CA que ha recibido

un dictamen de auditora BR
calificado (es decir, no haber
criterios) para su perodo
ordinario de auditora tiempo y
lleva a cabo la remediacin puede
querer a un punto en el tiempo de
auditora para demostrar sus
esfuerzos de remediacin

4. Cualquier CA que ha recibido

una opinion de auditora RB
calificada (es decir, fallar
criterios) para su auditoria en un
perodo ordinario y lleva a cabo la
remediacin puede querer una
auditoria especifica para
demostrar sus esfuerzos de
remediacin

audit to demonstrate their

remediation efforts

When the root certificate is in

production and has issued
certificates to customers the first
BR audit must be a full
performance audit showing BR
compliance over at least 60 days.
This situation occurs when a CA
applying for inclusion did not
know about the BRs, so did not
get audited according to the BRs
during their previous audit cycle.
However, the CA does have a
current valid audit statement
indicating compliance with
WebTrust Principles and Criteria
for Certification Authorities or
ETSI TS 102 042. This shorter
period-of-time audit is intended
for CAs to use for their first BR
audit, so they will not have to go
through another full-year audit

Cuando el certificado raz est en

produccin y ha emitido
certificados a los clientes la
primera auditora BR debe ser una
auditora de gestin completo que
demuestre el cumplimiento BR
durante al menos 60 das. Esta
situacin se produce cuando una
entidad emisora de la solicitud de
inclusin no saba sobre la
biosfera, por lo que no consigui
auditados de acuerdo con los
Reglamentos de base durante su
ciclo de auditora anterior. Sin
embargo, la CA tiene una
declaracin de auditora vlida
actual de cumplimiento de los
principios y criterios WebTrust
para Autoridades de Certificacin
o ETSI TS 102 042. Este corto
periodo de tiempo de auditora

Cuando el certificado raz est en

produccin y ha emitido
certificados a los clientes la
primera auditora en RB debe ser
una auditora de rendimiento
completo que demuestre el
cumplimiento de los RB durante
al menos 60 das. Esta situacin
se produce cuando una CA
solicitante para su inclusin no
saba sobre los RB en sus ciclos
de auditoria previos, Sin embargo,
El CA tiene una declaracin de
auditora vlida actual de
cumplimiento de los principios y
criterios WebTrust para
Autoridades de Certificacin o
ETSI TS 102 042. Este corto
periodo de tiempo de auditora
est destinado a las entidades
emisoras para su primera

until their next regularly

scheduled annual audit.

In the situation where a root

certificate is in production and
has issued certificates to
customers before the CA knew
about the BRs, an untold number
of the previously issued
certificates might not conform to
the BRs. This could be serious,
depending on which BRs the CA
did not previously comply with,
the number of BRs the CA did not
previously comply with, and the
quantity of such certificates
issued. Depending on the
situation, the CA may be asked to
create a new root certificate for
inclusion. Therefore, the CA
and/or auditor shall provide a list
of the BRs that the previously
issued certificates did not comply
with.

est destinado a las entidades

emisoras de utilizar para su
primera auditora BR, de modo
que lo harn no tener que pasar
por otra auditora para todo el ao
hasta su prxima auditora anual
regular.

auditoria en RB, de modo que no

tengan que hacer otra auditoria
con una duracin annual hasta que
tengan una auditoria anual
regularmente planificada.

En la situacin en la que un
certificado raz est en produccin
En la situacin en la que un
y ha emitido certificados a los
certificado raz est en produccin clientes antes de la CA supiera de
y ha emitido certificados a los
los RB, un nmero incalculable
clientes antes de la CA saba de
de los certificados emitidos
las reservas de biosfera, un
anteriormente podran no
nmero incalculable de los
ajustarse a la RB. Esto podra ser
certificados emitidos
grave, dependiendo de los RB que
anteriormente podra no ajustarse la CA no cumpli y la cantidad de
a la RB. Esto podra ser grave,
este tipo de certificados emitidos.
dependiendo de la BRS la CA no
Dependiendo de la situacin, se le
cumpli con anterioridad, el
puede pedir a la CA para crear un
nmero de reservas de biosfera de nuevo certificado raz para la
la CA no cumpli previamente
inclusin. Por lo tanto, el CA y / o
con, y la cantidad de este tipo de
auditor entregar una lista de los
certificados emitidos.
RB que los certificados emitidos
Dependiendo de la situacin, la
anteriormente no cumplan.
CA se le puede pedir para crear un
nuevo certificado raz para la

inclusin. Por lo tanto, el CA y / o

auditor entregar una lista de las
reservas de biosfera que los
certificados emitidos
anteriormente no cumplen con.

Auditor
Qualifications
Auditor Qualifications are
described in

Section 17.6 of the

CA/Browser Forum's
Baseline Requirements

Items 13 and 14 of
Mozilla's CA Certificate
Inclusion Policy

calificaciones Auditor

Requisitos de un Auditor

Calificaciones de auditor se
describen en

Los requisites de un auditor estn

descritos en:

Seccin 17.6 del CA / Browser

requisitos bsicos del Foro

Seccin 17.6 del Foro l CA /

Browser Requerimientos bsicos.

Los artculos 13 y 14 del CA

Poltica de Inclusin Certificado
de Mozilla

Los artculos 13 y 14 del CA

Poltica de Inclusin Certificado
de Mozilla

Audit Mistakes
During evaluation of a CA's root inclusion or
change request, Mozilla uses public audit
statements to help confirm that the CA is in
compliance with the stated verification
requirements, the BRs, and Mozilla's policy.
Therefore, when members of Mozilla's
community find a problem with certificates in
the CA's hierarchy that should have been noted

Los errores de
auditora

Errores en la
auditora

Durante la evaluacin de
la inclusin de la raz o por
peticin de cambio de una
CA, Mozilla utiliza
declaraciones de auditora
pblica para ayudar a
confirmar que la CA est

Durante la evaluacin de
la inclusin de la raz o
peticin de cambio de una
CA, Mozilla utiliza
declaraciones de
auditoras pblicas para
ayudar a confirmar que la

in the audit statement (as an exception or point

of non-compliance), the CA may need to be reaudited to confirm that the problem has been
resolved.

When egregious mistakes were overlooked by

the auditor, or there are a significant number of
oversights, or the auditor did not notice BR
compliance problems with the root or
intermediate certificates, then the CA must
resolve the issues and be re-audited. For the reaudit the CA can either get re-audited by a
different auditor, or have the current auditor

cumpliendo con los

requisitos establecidos de
verificacin, las reservas
de biosfera, y la poltica de
Mozilla. Por lo tanto,
cuando los miembros de la
comunidad de Mozilla
encontrar un problema con
los certificados en la
jerarqua de la CA que
deberan haber sido
observadas en el informe
de auditora (como una
excepcin o punto de
incumplimiento), es
posible que la CA que ser
re-auditada para confirmar
que el problema se ha
resuelto.
Cuando se cometen
errores graves fueron
pasadas por alto por el
auditor, o hay un nmero
significativo de descuidos,
o el auditor no se dieron
cuenta los problemas de
cumplimiento BR con la
raz o certificados
intermedios, la CA debe

CA est cumpliendo con

los requisitos establecidos
de verificacin, los RB y la
poltica de Mozilla. Por lo
tanto, cuando los
miembros de la comunidad
de Mozilla encuentran un
problema con los
certificados en la jerarqua
de la CA que deberan
haber sido observadas en
el informe de auditora
(como una excepcin o
punto de incumplimiento),
es posible que la CA que
ser re-auditada para
confirmar que el problema
se ha resuelto.
Cuando errores graves
cometidos fueron
pasado0s por alto por el
auditor, o hay un nmero
significativo de descuidos,
o el auditor no se di
cuenta los problemas de
cumplimiento de los RB
con la raz o certificados
intermedios, la CA debe

provide an immediate plan for correction and

compliance, and then present a mid-term partial
audit following that plan. In either case, the
auditor must provide documentation about steps
they are taking to avoid making the same
mistakes in future audits. If the auditor fails to
assure Mozilla that they have corrected the
deficiencies in their auditing process, then their
standing as a trusted auditor for the Mozilla root
program may be jeopardized.

resolver los problemas y

volver a auditar. Para la
nueva auditora de la CA
puede obtener ya sea reauditado por un auditor
diferente, o tiene el
auditor actual proporciona
un plan inmediato para la
correccin y el
cumplimiento, y luego
presentar una auditora
parcial de mitad de
perodo siguiente al plan.
En cualquier caso, el
auditor debe proporcionar
documentacin sobre las
medidas que estn
tomando para evitar
cometer los mismos
errores en futuras
auditoras. Si el auditor no
puede asegurar Mozilla
que se han corregido las
deficiencias en su proceso
de auditora, entonces su
posicin como auditor de
confianza para el
programa raz Mozilla

resolver los problemas y

volver a ser auditados.
Para la nueva auditora de
la CA puede ser reauditado por un auditor
diferente, o que auditor
actual proporcione un plan
inmediato para la
correccin y el
cumplimiento, y luego
presentar una auditora
parcial de la mitad de
perodo siguiente al plan.
En cualquier caso, el
auditor debe proporcionar
documentacin sobre las
medidas que est
tomando para evitar
cometer los mismos
errores en futuras
auditoras. Si el auditor no
puede asegurar a Mozilla
que se han corregido las
deficiencias en su proceso
de auditora, entonces su
posicin como auditor de
confianza para el
programa raz de Mozilla

Non-compliance to the following policies are

examples of mistakes that auditors must not
overlook.

BR Appendix A for root and

intermediate certs - Cryptographic
Algorithm and Key Requirements
(Normative) - Certificates MUST meet
the following requirements for algorithm
type and key size.

BR Appendix B for root and

intermediate certs Certificate
Extensions (Normative) - This appendix
specifies the requirements for Certificate
extensions for Certificates generated
after the Effective Date.

With regards to root and intermediate

certificates, the items listed in section 4
of Mozilla CA Certificate Inclusion
Policy:
o ASN.1 DER encoding errors;

pueda estar amenazada.

El incumplimiento de las
siguientes polticas son
ejemplos de errores que
los auditores no deben
pasar por alto.
BR Apndice A raz e
intermedios certs Algoritmo criptogrfico y
requisitos clave
(Normativo) - Los
certificados deben cumplir
los siguientes requisitos
para el tipo de algoritmo y
tamao de la clave.
BR Apndice B para la
raz e intermedios certs Certificado Extensiones
(normativas) - Este
apndice especifica los
requisitos para las
extensiones de certificado
para los certificados
generados despus de la
Fecha Efectiva.
Con respecto a la raz y
los certificados
intermedios, los elementos
enumerados en el

pueda estar amenazada.

El incumplimiento de las
siguientes polticas son
ejemplos de errores que
los auditores no deben
pasar por alto.
RB Apndice A para raz
y certificados intermedios Algoritmo criptogrfico y
requisitos clave
(Normativo) - Los
certificados deben cumplir
los siguientes requisitos
para el tipo de algoritmo y
tamao de clave.
BR Apndice B para raz
y certificados intermedios
Extensiones de
certificado (normativas) Este apndice especifica
los requisitos para las
extensiones de certificado
para los certificados
generados despus de la
Fecha Efectiva.
Con respecto a la raz y
los certificados

o invalid public keys (e.g., RSA

certificates with public exponent
equal to 1);
o duplicate issuer names and serial
numbers;

incorrect extensions (e.g., SSL

certificates that exclude SSL
usage, or authority key IDs that
include both the key ID and the
issuers issuer name and serial
number); or

cRLDistributionPoints or OCSP
authorityInfoAccess extensions
for which no operational CRL or
OCSP service exists

apartado 4 de la Poltica
de Inclusin Mozilla
Certificado CA:
o errores de codificacin
DER ASN.1;
o las claves pblicas no
vlidos (por ejemplo,
certificados RSA con
exponente pblico igual a
1);
o duplicar nombres de
emisor y de los nmeros
de serie;
o extensiones incorrectas
(por ejemplo, certificados
SSL que excluyen el uso de
SSL, o autoridad ID de
clave que incluyen tanto el
ID de la llave y del emisor
nombre del emisor y
nmero de serie); o
o cRLDistributionPoints o
extensiones OCSP
authorityInfoAccess para
los que no existe CRL o
OCSP servicio operacional

intermedios, los elementos

enumerados en el
apartado 4 de la Poltica de
Inclusin de Certificado de
Mozilla para CA:
o Errores de codificacin
DER ASN.1;
o las claves pblicas no
vlidas (por ejemplo,
certificados RSA con
exponente pblico igual a
1);
Duplicados de nombres de
emisor y de nmeros de
serie;
o Extensiones incorrectas
(por ejemplo, certificados
SSL que excluyen el uso de
SSL, o claves de autoridad
ID que incluyen tanto el la
clave ID como el nombre
del emisor y el nmero de
serie); o
o cRLDistributionPoints o
extensiones OCSP
authorityInfoAccess para
los que no existe CRL o

OCSP servicio operacional

There are other types of mistakes that could

potentially not be found by an auditor doing
sampling of end-entity certificates. If the auditor
did not note this type of mistake in the audit
statement, then the CA must fix the mistake(s)
and be re-audited to confirm that the problem
has been resolved. The CA may use the same
auditor that issued the previous audit statement.
Non-compliance to the following policies are
examples of mistakes that auditors might
overlook due to sampling of end-entity
certificates:

Hay otros tipos de errores

que podran no
potencialmente pueden
encontrar por un auditor
haciendo muestra de
certificados de entidad final.
Si el auditor no tenga en
cuenta este tipo de error en el
informe de auditora, la CA
debe corregir el error (s) y se
volver a la auditora para
confirmar que el problema se
ha resuelto. El CA puede
utilizar el mismo auditor que
emiti el informe de auditora
anterior.
El incumplimiento de las
siguientes polticas son
ejemplos de errores que los
auditores puedan pasar por
alto debido a la toma de
muestras de certificados de
entidad final:

BR 9.2.1 - Subject Alternative Name

BR 9.2.1 - Nombre de

Hay otros tipos de errores

que podran potencialmente
no ser encontrados por un
auditor que hace un muestreo
de certificados de entidad
final. Si el auditor no not
este tipo de error en el
informe de auditora, la CA
debe corregir el(los) error(es)
y se re-auditar para
confirmar que el problema se
ha resuelto. El CA puede
utilizar el mismo auditor que
emiti el informe de auditora
anterior.
El incumplimiento de las
siguientes polticas son
ejemplos de errores que los
auditores puedan pasar por
alto debido a la toma de
muestras de certificados de
entidad final:

RB 9.2.1 Tema: Nombre

Extension - SSL certs must contain at

least one entry

BR 9.2.2 - Subject Common Name Field

- If present, this field MUST contain a
single IP address or Fully-Qualified
Domain Name that is one of the values
contained in the Certificates
subjectAltName extension

extensin Asunto Alternativa

- certificados SSL deben
contener al menos una
entrada

BR 9.2.2 - Nombre Asunto

Comn Campo - Si est
presente, este campo debe
contener una direccin IP
nica o totalmente nombre de
dominio que es uno de los
BR 9.4.1 - Subscriber Certificates valores contenidos en la
Subscriber Certificates issued after the
Effective Date (1 July 2012) MUST have extensin subjectAltName
del Certificado
a Validity Period no greater than 60
months. (exceptions allowed)
BR 9.4.1 - Certificados de
Suscriptores - Certificados de
BR Appendix A for Subscriber certs Suscriptores emitidos
Cryptographic Algorithm and Key
Requirements (Normative) - Certificates despus de la Fecha Efectiva
MUST meet the following requirements (1 de julio de 2012) La deben
tener un perodo de validez
for algorithm type and key size.
no superior a 60 meses.
(excepciones permitidas)
BR Appendix B for Subscriber certs
Certificate Extensions (Normative) This appendix specifies the requirements
for Certificate extensions for Certificates

BR Apndice A para certs

Suscriptor - Algoritmo

alterno - certificados SSL

deben contener al menos una
entrada
RB 9.2.2 Tema: Campo de
nombre comn Si est
presente, este campo DEBE
contener una direccin IP
nica o un nombre de
dominio completamente
cualificado, que es uno de los
valores contenidos en la
extension subjectaltname
del certificado
RB 9.4.1 - Certificados de
Suscriptores - Certificados de
Suscriptores emitidos
despus de la Fecha Efectiva
(1 de julio de 2012) deben
tener un perodo de validez
no superior a 60 meses.
(excepciones permitidas)
RB Apndice A para
Certificados de Suscriptores -

generated after the Effective Date.

The items listed in section 4 of Mozilla

CA Certificate Inclusion Policy in endentity certificates:

criptogrfico y requisitos
clave (Normativo) - Los
certificados deben cumplir
los siguientes requisitos para
el tipo de algoritmo y tamao
de la clave.

Algoritmo criptogrfico y
requisitos clave (Normativo)
- Los certificados deben
cumplir los siguientes
requisitos para el tipo de
algoritmo y tamao de clave.

BR Apndice B para certs

Suscriptor - Certificado
Extensiones (normativas) Este apndice especifica los
requisitos para las
extensiones de certificado
para los certificados
generados despus de la
Fecha Efectiva.

RB Apndice B para
Certificados de Suscriptores
Extensiones certificadas
(normativas) - Este apndice
especifica los requisitos para
las extensiones de certificado
para los certificados
generados despus de la
Fecha Efectiva.

Los elementos enumerados

en el artculo 4 de la poltica
de inclusin Mozilla
certificado de CA en
certificados de entidad final:

Los elementos enumerados

en el artculo 4 de la poltica
de inclusin Mozilla
certificado de CA para
certificados de entidad final:

o errores de codificacin
DER ASN.1;

o Errores de codificacin
DER ASN.1;

o ASN.1 DER encoding errors;

o invalid public keys (e.g., RSA
certificates with public exponent
equal to 1);
o duplicate issuer names and serial
numbers;
o incorrect extensions (e.g., SSL
certificates that exclude SSL
usage, or authority key IDs that
include both the key ID and the
issuers issuer name and serial
number); or
o cRLDistributionPoints or OCSP
authorityInfoAccess extensions
for which no operational CRL or
OCSP service exists.

o las claves pblicas no

vlidos (por ejemplo,
certificados RSA con
exponente pblico igual a 1);

o Claves pblicas no vlidas

(por ejemplo, certificados
RSA con exponente pblico
igual a 1);

o duplicar nombres de emisor

y de los nmeros de serie;

o Nombres de emisor
duplicados y de nmeros de
serie;

o extensiones incorrectas (por

ejemplo, certificados SSL
que excluyen el uso de SSL,
o autoridad ID de clave que
incluyen tanto el ID de la
llave y del emisor nombre del
emisor y nmero de serie); o
o cRLDistributionPoints o
extensiones OCSP
authorityInfoAccess para los
que no existe CRL o OCSP
servicio operacional.

Finally, there are a type of mistakes that may be

found during the evaluation of a root

Por ltimo, hay un tipo de

errores que se pueden

o Extensiones incorrectas
(por ejemplo, certificados
SSL que excluyen el uso de
SSL, o Claves de autoridad
ID que incluyen tanto el ID
de la llave y del emisor
nombre del emisor y nmero
de serie); o
o cRLDistributionPoints o
extensiones OCSP
authorityInfoAccess para los
que no existe un servicio
operacional CRL o OCSP.
Por ltimo, hay un tipo de
errores que se pueden

inclusion/change request, and resolved by the

CA without requiring a re-audit. If someone
reports this type of mistake, then the CA must
fix the mistake and provide examples to
demonstrate that the problem has been resolved.
Examples of this type of mistake include noncompliance with the following.

BR 13.2.2 - Repository -- CRL and

OCSP max expiration time, GET

BR 3.2.5 OCSP Signing -- OCSP

responses MUST conform to RFC2560
and/or RFC5019.

Mozilla CA Certificate Maintenance

Policy section 9: all new end-entity
certificates must contain at least 20 bits
of unpredictable random data (preferably
in the serial number).

encontrar durante la
evaluacin de una solicitud
de inclusin de la raz /
cambio, y resuelto por el CA
sin necesidad de una nueva
auditora. Si alguien reporta
este tipo de error, entonces el
CA debe corregir el error y
dar ejemplos para demostrar
que el problema se ha
resuelto. Ejemplos de este
tipo de error incluyen el
incumplimiento de lo
siguiente.

encontrar durante la
evaluacin de una solicitud
de inclusin de la raz /
cambio, que pueden ser
resueltos por el CA sin
necesidad de una nueva
auditora. Si alguien reporta
este tipo de error, entonces el
CA debe corregir el error y
dar ejemplos para demostrar
que el problema se ha
resuelto. Ejemplos de este
tipo de error incluyen el
incumplimiento de lo
siguiente.

BR 13.2.2 - Repositorio CRL y OCSP tiempo de

expiracin mximo, GET
BR 3.2.5 OCSP Firma respuestas OCSP DEBE
cumplir con RFC2560 y / o
RFC5019.

BR 13.2.2 - Repositorio tiempo de expiracin mximo

de CRL y OCSP, GET

Seccin de Mozilla CA
Certificado Poltica

BR 3.2.5 OCSP Firma respuestas del OCSP DEBEN

Mantenimiento 9: todos los

nuevos certificados de
entidad final deben contener
al menos 20 bits de datos
aleatorios impredecibles
(preferiblemente en el
nmero de serie).

cumplir con RFC2560 y / o

RFC5019.
Poltica de Mantenimiento
de Certificados de Mozilla
CA 9: todos los nuevos
certificados de entidad final
deben contener al menos 20
bits de datos aleatorios
impredecibles
(preferiblemente en el
nmero de serie).

CA
Conformance
to the BRs

CA La conformidad con los

Reglamentos de base

Conformidad de los CA con los

Reglamentos de base

The CA's CP or CPS documents

must include a commitment to
comply with the BRs, as
described in BR section 8.3.

Documentos CP o CPS del CA

deben incluir un compromiso de
cumplir con la biosfera, como se
describe en la seccin 8.3 BR.

Documentos CP o CPS del CA

deben incluir un compromiso de
cumplir con los RB, como se
describe en la seccin 8.3 RB.

BR section 8.2.1 says: "The CA

SHALL develop, implement,
enforce, and annually update a
Certificate Policy and/or
Certification Practice Statement
that describes in detail how the
CA implements the latest version
of these Requirements."

BR seccin 8.2.1 dice: "El CA

deber desarrollar, implementar,
hacer cumplir, y actualizar
anualmente una poltica de
certificacin y / o Declaracin de
Prcticas de Certificacin, que
describe en detalle cmo el CA
implementa la versin ms
reciente de estos requisitos."

RB seccin 8.2.1 dice: "El CA

deber desarrollar, implementar,
hacer cumplir, y actualizar
anualmente una poltica de
certificacin y/o Declaracin de
Prcticas de Certificacin, que
describan en detalle cmo el CA
implementa la versin ms
reciente de estos requisitos."

It is not sufficient to simply

reference section 11 of the

CA/Brower Forum's Baseline
Requirements (BR). BR #11.1.1
lists several ways in which the CA
may confirm that the certificate
subscriber owns/controls the
domain name to be included in
the certificate. Simply referencing
section 11 of the BRs does not
specify which of those options the
CA uses, and is insufficient for
describing how the CA conforms
to the BRs. The CA's CP/CPS
must include a reasonable
description of the ways the CA
can verify that the certificate
subscriber owns/controls the
domain name(s) to be included in
the certificate.

No es suficiente con la seccin 11

de los requisitos bsicos de la
CA / Brower del Foro (BR)
simplemente referencia. BR #
11.1.1 listas de varias maneras en
que la CA puede confirmar que el
suscriptor del certificado posee /
controla el nombre de dominio
que se incluirn en el certificado.
Artculo 11 de la RB
Simplemente referencia no
especifica cul de esas opciones la
CA utiliza, y es insuficiente para
describir cmo el CA se ajusta a
las reservas de biosfera. CP / CPS
del CA deben incluir una
descripcin razonable de las
formas en que la CA puede
verificar que el suscriptor del
certificado posee / controla el
nombre (s) de dominio que se
incluirn en el certificado.

No es suficiente simplemente
referir la seccin 11 de los RB del
Foro CA/Browser. RB # 11.1.1
listas varias maneras en que la CA
puede confirmar que el suscriptor
del certificado posee/controla el
nombre de dominio que se
incluir en el certificado. Una
simple referencia al Artculo 11
de los RB no especifica cul de
esas opciones la CA utiliza, y es
insuficiente para describir cmo
el CA se ajusta a los RB. CP/CPS
del CA deben incluir una
descripcin razonable de las
formas en que la CA puede
verificar que el suscriptor del
certificado posee/controla el(los)
nombre(s) de dominio que se
incluirn en el certificado.

Checking BR Compliance

Problems to look for when analyzing data of

existing sites chaining up to roots being
considered for inclusion.

BR Appendix A for Root, Sub CA, and

Subscriber certs - Cryptographic
Algorithm and Key Requirements

Problemas a tener en cuenta al

analizar los datos de los sitios
existentes encadenar hasta las races
de ser considerados para su
inclusin.

Problemas a tener en cuenta al

analizar los datos de sitios existentes
encadenando hasta las races de ser
considerados para su inclusin.

BR Appendix A for Root, Sub

CA, and Subscriber certs Cryptographic Algorithm and Key
Requirements (Normative) -

BR Apndice A para Raz, Sub CA, y

Subscriptores certificados - Algoritmo
criptogrfico y requisitos clave
(Normativo) - Los certificados deben

(Normative) - Certificates MUST meet the

following requirements for algorithm type
and key size...

BR Appendix B for Root, Sub CA certs,

and Subscriber certs Certificate
Extensions (Normative) - This appendix
specifies the requirements for Certificate
extensions for Certificates generated after
the Effective Date.

Mozilla CA Certificate Inclusion Policy

section 4: We reserve the right to not
include a particular CA certificate in our
software products. ... CAs that issue
certificates that have:
o ASN.1 DER encoding errors;
o invalid public keys (e.g., RSA
certificates with public exponent
equal to 1);
o duplicate issuer names and serial
numbers;

Certificates MUST meet the following

requirements for algorithm type and
key size...

BR Appendix B for Root, Sub

CA certs, and Subscriber certs
Certificate Extensions (Normative) This appendix specifies the
requirements for Certificate
extensions for Certificates generated
after the Effective Date.

Mozilla CA Certificate Inclusion

Policy section 4: We reserve the right
to not include a particular CA
certificate in our software
products. ... CAs that issue
certificates that have:
o
ASN.1 DER encoding errors;
o
invalid public keys (e.g., RSA
certificates with public exponent
equal to 1);
o
duplicate issuer names and
serial numbers;
o
incorrect extensions (e.g., SSL
certificates that exclude SSL usage,
or authority key IDs that include both
the key ID and the issuers issuer
name and serial number); or
o
cRLDistributionPoints or OCSP

cumplir los siguientes requisitos para

el tipo de algoritmo y tamao de
clave ...
BR Apndice B para Raz, Sub CA
certificados, y Suscriptores
Certificados Extensiones
certificadas (normativas) - Este
apndice especifica los requisitos
para las extensiones de certificado
para los certificados generados
despus de la Fecha Efectiva.
La poltica de inclucin de
certificados deCA de Mozilla Seccin
4: Nos reservamos el derecho de no
incluir un certificado de CA especial
en nuestros productos de software. ...
Las CA que emiten certificados que
tienen:
o Errores de codificacin DER ASN.1;
o Claves pblicas no vlidas (por
ejemplo, certificados RSA con
exponente pblico igual a 1);
o Nombres de emisor y de nmeros
de serie duplicados;
o Extensiones incorrectas (por
ejemplo, certificados SSL que
excluyen el uso de SSL, o autoridad
de clave ID que incluyen tanto el ID

o incorrect extensions (e.g., SSL

certificates that exclude SSL usage,
or authority key IDs that include
both the key ID and the issuers
issuer name and serial number); or
o cRLDistributionPoints or OCSP
authorityInfoAccess extensions for
which no operational CRL or
OCSP service exists.

BR 9.2.1 - Subject Alternative Name

Extension - SSL certs must contain at least
one entry

BR 9.2.2 - Subject Common Name Field If present, this field MUST contain a
single IP address or Fully-Qualified
Domain Name that is one of the values
contained in the Certificates
subjectAltName extension

BR 9.4.1 - Subscriber Certificates Subscriber Certificates issued after the

Effective Date (1 July 2012) MUST have a
Validity Period no greater than 60 months.

authorityInfoAccess extensions for

which no operational CRL or OCSP
service exists.

BR 9.2.1 - Subject Alternative

Name Extension - SSL certs must
contain at least one entry

BR 9.2.2 - Subject Common

Name Field - If present, this field
MUST contain a single IP address or
Fully-Qualified Domain Name that is
one of the values contained in the
Certificates subjectAltName
extension

BR 9.4.1 - Subscriber
Certificates - Subscriber Certificates
issued after the Effective Date (1 July
2012) MUST have a Validity Period no
greater than 60 months. (exceptions
allowed)

BR Appendix A for Subscriber

certs - Cryptographic Algorithm and
Key Requirements (Normative) Certificates MUST meet the following
requirements for algorithm type and
key size.

BR 9.6 - CAs SHOULD generate

non-sequential Certificate serial
numbers that exhibit at least 20 bits

de la llave y del emisor, nombre del

emisor y nmero de serie); o
o cRLDistributionPoints o extensiones
OCSP authorityInfoAccess para los
que no existe P servicio operacional
CRL o OCS.
BR 9.2.1 Tema: Nombre de
extension alterno - certificados SSL
deben contener al menos una
entrada
BR 9.2.2 Tema: Campo de nombre
comn - Si est presente, este campo
debe contener una direccin IP nica
o un nombre de dominio cualificado,
que es uno de los valores contenidos
en la extensin SubjectAltName del
Certificado
BR 9.4.1 - Certificados de
Suscriptores - Certificados de
Suscriptores emitidos despus de la
Fecha Efectiva (1 de julio de 2012) La
deben tener un perodo de validez no
superior a 60 meses. (excepciones
permitidas)
BR Apndice A para Subscriptor de
certificados - Algoritmo criptogrfico
y clave de requisites (Normativo) Los certificados deben cumplir los

(exceptions allowed)

BR Appendix A for Subscriber certs Cryptographic Algorithm and Key

Requirements (Normative) - Certificates
MUST meet the following requirements
for algorithm type and key size.

BR 9.6 - CAs SHOULD generate nonsequential Certificate serial numbers that

exhibit at least 20 bits of entropy.

BR 13.2.2 - Repository -- CRL and OCSP

max expiration time, GET

BR 3.2.5 OCSP Signing -- OCSP

responses MUST conform to RFC2560
and/or RFC5019.

Mozilla CA Certificate Maintenance

Policy section 9: all new end-entity
certificates must contain at least 20 bits of
unpredictable random data (preferably in
the serial number).

The problems listed here:

of entropy.

BR 13.2.2 - Repository -- CRL

and OCSP max expiration time, GET

BR 3.2.5 OCSP Signing -- OCSP

responses MUST conform to RFC2560
and/or RFC5019.

Mozilla CA Certificate
Maintenance Policy section 9: all new
end-entity certificates must contain
at least 20 bits of unpredictable
random data (preferably in the serial
number).

The problems listed here:

https://wiki.mozilla.org/SecurityEngin
eering/mozpkixtesting#Behavior_Changes

The concerns listed here:

https://wiki.mozilla.org/SecurityEngin
eering/mozpkixtesting#Things_for_CAs_to_Fix

siguientes requisitos para el tipo de

algoritmo y tamao de clave.
BR 9.6 La CA DEBE generar
nmeros de serie no secuenciales de
certificados que presentan al menos
20 bits de entropa.
BR 13.2.2 - Repositorio - tiempo de
expiracin mximo CRL y OCSP, GET
BR 3.2.5 OCSP Firma Las
respuestas OCSP DEBEN cumplir con
RFC2560 y / o RFC5019.
Poltica de mantenimiento de
certificados de CA de Mozilla Seccin
9: todos los nuevos certificados de
entidad final deben contener al
menos 20 bits de datos aleatorios
impredecibles (preferiblemente en el
nmero de serie).
Los problemas listados aqu:
https://wiki.mozilla.org/SecurityEngin
eering/mozpkixtesting#Behavior_Changes
Las preocupaciones se enumeran
aqu:
https://wiki.mozilla.org/SecurityEngin
eering/mozpkixtesting#Things_for_CAs_to_Fix

https://wiki.mozilla.org/SecurityEngineeri
ng/mozpkix-testing#Behavior_Changes

The concerns listed here:

https://wiki.mozilla.org/SecurityEngineeri
ng/mozpkixtesting#Things_for_CAs_to_Fix

Monitoring BR
Compliance

BR 13.1.5 - Reasons for Revoking

a Subscriber Certificate - The CA
SHALL revoke a Certificate
within 24 hours if one or more of
the following occurs: ... 9. The
CA is made aware that the
Certificate was not issued in
accordance with these
Requirements or the CAs
Certificate Policy or Certification
Practice Statement;
BR 13.1.6 - Reasons for Revoking
a Subordinate CA Certificate The Issuing CA SHALL revoke a
Subordinate CA Certificate within

Monitoreo de
Cumplimiento BR

Monitoreo de
Cumplimiento de RB

BR 13.1.5 - Razones para

Revocacin de un Certificado
de Suscriptor - El CA revocar
un certificado dentro de 24
horas si una o ms de las
siguientes situaciones: ... 9.
El CA se hace consciente de
que el certificado no se
hubiere expedido de acuerdo
con estas requisitos o poltica
de certificacin de la entidad
emisora o Declaracin de
Prcticas de Certificacin;
BR 13.1.6 - Las razones para
revocar un certificado
subordinado CA - La CA
emisora revocar un
certificado de CA
subordinada dentro de los

BR 13.1.5 - Razones para la

Revocacin de un Certificado
de Suscriptor - El CA revocar
un certificado dentro de 24
horas si una o ms de las
siguientes situaciones ocurre:
... 9. El CA est consciente de
que el certificado no se
hubiere expedido de acuerdo
con estos requisitos o la
poltica de certificacin de la
entidad emisora o
Declaracin de Prcticas de
Certificacin;
BR 13.1.6 - Las razones para
revocar un certificado
subordinado CA - La CA
emisora revocar un

seven (7) days if one or more of

the following occurs: ... 5. The
Issuing CA is made aware that the
Certificate was not issued in
accordance with or that
Subordinate CA has not complied
with these Baseline Requirements
or the applicable Certificate
Policy or Certification Practice
Statement;

siete (7) das si se presenta

uno o ms de los
siguientes: ... 5. La CA
emisora se le hace saber que
el el certificado no fue
emitido de conformidad con o
que CA subordinada no ha
cumplido con los requisitos
de base o la poltica de
certificados o Declaracin de
Prcticas de Certificacin;

certificado de la CA
subordinada dentro de los
siete (7) das si se presenta
uno o ms de los
siguientes: ... 5. La CA
emisora se le hace saber que
el certificado no fue emitido
de conformidad con los RB o
que CA subordinada no ha
cumplido con los requisitos
de base o la poltica de
certificados o Declaracin de
Prcticas de Certificacin;