Professional Documents
Culture Documents
BR Audits
As with the other audits required
of CAs in Mozilla's Program, the
BR Audit statement must be a
public-facing document. Section
6 of Mozilla's CA Certificate
Inclusion Policy says: "We
require that all CAs whose
certificates are distributed with
our software products: ... publicly
disclose information about their
policies and business practices
(e.g., in a Certificate Policy and
Certification Practice
Statement); ... provide *public
attestation* of their conformance
to the stated verification
requirements and other
operational criteria by a
competent independent party or
parties with access to details of
BR Auditoras
Al igual que con la otra las
auditoras necesarios de entidades
de certificacin en el Programa de
Mozilla, la declaracin de
Auditora BR debe ser un
documento de cara al pblico.
Artculo 6 de la CA Poltica
Inclusin Certificado de Mozilla
dice: "Requerimos que todos los
CAs cuyos certificados se
distribuyen con nuestros
productos de software: ... revelar
pblicamente informacin sobre
sus polticas y prcticas
comerciales (por ejemplo, en una
poltica de certificacin y
Declaracin de Prcticas de
Certificacin); ... proporcionar *
certificado pblico * de su
conformidad con los requisitos de
verificacin establecidos y otros
Auditoras de RB /(Requisitos
Base)
Al igual que con las otras
auditoras requeridas para
entidades de certificacin en el
Programa de Mozilla, la
declaracin de una Auditora de
RB debe ser un documento
pblico. El Artculo 6 de la
Poltica Inclusin Certificado de
Mozilla para CA dice:
"Requerimos que todos los CA
cuyos certificados se distribuyen
con nuestros productos de
software: ... revelen pblicamente
informacin sobre sus polticas y
prcticas comerciales (por
ejemplo, en una poltica de
certificacin y Declaracin de
Prcticas de Certificacin); ...
proporcionar *certificado
pblico* de su conformidad con
los requisitos de verificacin
As previously stated, it is
acceptable for an audit statement
to list the BRs that the CA is not
yet fully in compliance with.
However, this may result in an
auditor providing information in
the BR audit statement that the
CA considers sensitive (e.g.
subordinate CA specifics, RA
information, customer
information, or security sensitive
information). Each CA must work
with their auditor to create a
public-facing BR audit statement
that does not have information in
it that the CA considers sensitive,
but that sufficiently lists the BRs
that the CA is still working to
conform with.
BR 16.5 - multi-factor
authentication for all
accounts capable of
directly causing certificate
issuance
BR 17.8 audits on at
least a quarterly basis
against a randomly
selected sample of the
greater of one certificate
or at least three percent
of the Certificates issued
by it during the period
commencing immediately
after the previous selfaudit sample was taken
BR 16.5 - autenticacin de
mltiples factores para todas las
cuentas capaces de causar
directamente la emisin de
certificados
RB 16.5 - autenticacin de
mltiples factores para todas las
cuentas capaces de hacer
directamente la emisin de
certificados
RB 17.5 - El perodo de la
auditora delegado a un
contratado externo no debe
exceder un ao
BR 11.2 re-verifying
identity for cert renewal
requests
RFC 5280
A BR audit must include checks
to verify that the root,
intermediate, and SSL certificates
conform to RFC 5280. Given that
the BRs normatively incorporate
RFC 5280, auditors MUST be
checking compliance in order to
evaluate whether or not a given
certificate conforms to the BRs.
BR 11.2 - re-verificacin de
identidad para las solicitudes de
renovacin cert
RB 11.2 - re-verificacin de
identidad para las solicitudes de
renovacin de certificados.
RFC 5280
RFC 5280
BR seccin 4: "Certificado
Vlido: Un certificado que pasa el
procedimiento de validacin
RFC 5280."
BR Appendix B:
BR Apndice B:
RB Apndice B:
"Non-critical Name
Constraints are an
exception to RFC 5280
(4.2.1.10), however, they
MAY be used..."
"restricciones de nombres no
crticos son una excepcin a RFC
5280 (4.2.1.10), sin embargo,
pueden ser utilizados ..."
"Restricciones de nombres no
crticos son una excepcin a la
RFC 5280 (4.2.1.10), sin
embargo, estos pueden ser
utilizados ..."
Whole-Population
Audit of
Intermediate Certs
Intermediate certificates
must be checked for
duplicate serial numbers,
which is forbidden by
section 4.1.2.2 of RFC
5280.
Cryptographic algorithm
and key sizes must meet
BR Appendix A.
issued.
Sub CA 3, operated by
ABC Corp, is subject to
audit
Sub CA 4, operated by
XYZ Corp, is subject to
audit, but not its end-entity
certificates because Sub
CA 4 is technically
constrained in line with
BRs
DIAGRAM 1
The audit statement must specify the audit period dates, and that the
audit was based on the "AICPA/CICA WebTrust for Certification
Authorities SSL Baseline Requirements Audit Criteria" or the
"WebTrust Principles and Criteria for Certification Authorities SSL
Baseline with Network Security". It is recommended that the audit
statement include the version of the criteria that was used.
The BR audit statement may be included in the same pdf file as the
Declaracin sobre
Auditora en RB por
WebTrust
Mozilla acepta los
siguientes criterios de
RB proporcionados por
WebTrust:
Principios y Criterios Requisitos SSL previstos
versin 1.1.
(Modificada) (Obsoleta)
Principios y Criterios
WebTrust para
Autoridades de
Certificacin (CA) SSL lnea de base con
Extended Validation
Requirements)
Extended Validation
La declaracin de
auditora en RB puede
incluir en el mismo
archivo pdf como la
WebTrust para
Autoridades de
Certificacin de
declaracin de auditora.
La declaracin de
auditora en RB puede
estar calificado y
nombrar los RB con los
que el CA que el CA an
no est en
cumplimiento. Se espera
que la segunda auditora
RB (del ao siguiente)
para confirmar que las
cuestiones que se
enumeran en la auditora
anterior se han resuelto.
Definicin: Se emite una
declaracin de auditora
CALIFICADA cuando
para Entidades de
certificacin WebTrust
2. WebTrust BR Principios WebTrust y
Criterios para
autoridades de
certificacin SSL Lnea Base en seguridad
de la red (o Principios y
Criterios Requisitos
base)
3. WebTrust EV Principios y Criterios
para Entidades de
certificacin WebTrust
Validacin extendida
SSL (o Principios y
Criterios para
Autoridades de
Certificacin Criterios
extendidos en auditora
de validacin)
However, if the CA hierarchy can only be used for EV certificates, the
Sin embargo, si la
jerarqua de CA slo se
puede utilizar para
certificados EV, el
CP/CPS establece
claramente esto, y una
exploracin anual de la
base de datos certificada
demuestra que todos los
certificados de entidad
final tienen la poltica de
validacin extendida
(EV) en la OID y por
tanto, una declaracin de
auditora RB WebTrust
no es necesario, ya que
se engloba dentro de la
auditora EV (validacin
extendida) WebTrust. En
otras palabras, la
declaracin de auditora
EV WebTrust ser
suficiente ya que incluye
la declaracin de
auditora webtrust en
RB.
En cuanto a "la CP /
CPS establece
claramente esto," los
CP / CPS auditados
tendran que decir algo
en el sentido de: "Todos
los certificados emitidos
bajo esta jerarqua
siempre tendrn la
poltica de validacin
extendida (EV) en la
OID, y cuando el OID
poltica EV est
presente, seguimos
nuestra poltica EV ". En
otras palabras, no sera
suficiente que el CP /
CPS diga "Si esta
poltica de validacin
extendida OID est
presente, seguimos
nuestra poltica de
validacin extendida".
Declaracin de
Auditora ETSI RB /
Certificado
De acuerdo con el
artculo 11 de Poltica de
Inclusin de Certificado
CA de Mozilla, cuando
el bit de confianza sitios
web est habilitada, el
nico criterio ETSI
aceptable para Mozilla
ser el ETSI TS 102 042
v2.3.1 o posterior (en
funcin de las polticas
de certificados "EVCP"
y "EVCP +", DVCP y
OVCP certifican
polticas para
certificados de confianza
pblicos - requisitos
bsicos, y cualquiera de
las, polticas de
certificados "LCP"
"NCP" "NCP+"). Los
criterios de auditora
ETSI TS 101 456 NO
son suficientes para los
un navegador web.
For an ETSI TS 102 042 certificate to be accepted as a BR audit
statement, the certificate must include PTC-BR and must be of
version 2.3.1 or later. Note: PTC-BR stands for "Publicly Trusted
Certificates - Baseline Requirements"
Mozilla tambin
requiere evidencia de
auditoras anuales de
vigilancia, ya que se
requiere con el fin de
mantener la validez del
certificado ETSI. La
ETSI Information/Resources:
declaracin de la
auditora anual de
vigilancia debe incluir
las fechas en las que se
realiz la auditora, y la
versin de los criterios
de auditora que se
utilizaron.
http://www.etsi.org/index.php/technologiesclusters/technologies/security/certification-authorities-andother-trust-service-providers
http://www.etsi.org/index.php/technologiesclusters/technologies/security/certification-authorities-andother-trust-service-providers
http://portal.etsi.org/TBSiteMap/ESI/TrustServiceProviders.as
px
http://portal.etsi.org/TBSiteMap/ESI/TrustServiceProviders.as
px
A CA's First BR
Audit
We previously said: "Any
Certificate Authority being
considered for root inclusion after
February 15, 2013 must comply
with Version 2.1 or later of
Mozilla's CA Certificate Policy.
This includes having a Baseline
Requirements audit performed if
the websites trust bit is to be
enabled. *Note that the CA's
first Baseline Requirements
Primero BR Auditora de un CA
Anteriormente dijimos: "Toda
autoridad de certificacin
pendiente de inscripcin raz
despus de 15 de febrero 2013
deben cumplir con la versin 2.1
o posterior de la Poltica de
certificado de CA de Mozilla Esto
incluye tener una auditora de
requisitos bsicos a cabo si el bit
de confianza sitios web se va a
habilitar. *. Tenga en cuenta que
la primera auditora requisitos
bsicos de la CA puede ser un
Primera Auditora en RB de un
CA
Anteriormente dijimos: "Toda
autoridad de certificacin
pendiente de inscripcin raz
despus de 15 de febrero 2013
debe cumplir con la versin 2.1 o
posterior de la Poltica de
certificado de CA de Mozilla.
Esto incluye tener una auditora
de RB a cabo si el bit de
confianza de sitios web se va a
habilitar. *. Tenga en cuenta que
la primera auditora en RB del CA
se pone en funcionamiento la
produccin de certificados para
los clientes, lo que ocurra
primero.
funcionamiento al producer
certificados para los clientes, lo
que ocurra primero.
1. An organization is
standing up a CA for the
first time, wants to issue
public SSL certs, so the
first audit would be point
in time, with all
subsequent audits being
period of time.
En la situacin en la que un
certificado raz est en produccin
En la situacin en la que un
y ha emitido certificados a los
certificado raz est en produccin clientes antes de la CA supiera de
y ha emitido certificados a los
los RB, un nmero incalculable
clientes antes de la CA saba de
de los certificados emitidos
las reservas de biosfera, un
anteriormente podran no
nmero incalculable de los
ajustarse a la RB. Esto podra ser
certificados emitidos
grave, dependiendo de los RB que
anteriormente podra no ajustarse la CA no cumpli y la cantidad de
a la RB. Esto podra ser grave,
este tipo de certificados emitidos.
dependiendo de la BRS la CA no
Dependiendo de la situacin, se le
cumpli con anterioridad, el
puede pedir a la CA para crear un
nmero de reservas de biosfera de nuevo certificado raz para la
la CA no cumpli previamente
inclusin. Por lo tanto, el CA y / o
con, y la cantidad de este tipo de
auditor entregar una lista de los
certificados emitidos.
RB que los certificados emitidos
Dependiendo de la situacin, la
anteriormente no cumplan.
CA se le puede pedir para crear un
nuevo certificado raz para la
Auditor
Qualifications
Auditor Qualifications are
described in
Items 13 and 14 of
Mozilla's CA Certificate
Inclusion Policy
calificaciones Auditor
Requisitos de un Auditor
Calificaciones de auditor se
describen en
Audit Mistakes
During evaluation of a CA's root inclusion or
change request, Mozilla uses public audit
statements to help confirm that the CA is in
compliance with the stated verification
requirements, the BRs, and Mozilla's policy.
Therefore, when members of Mozilla's
community find a problem with certificates in
the CA's hierarchy that should have been noted
Los errores de
auditora
Errores en la
auditora
Durante la evaluacin de
la inclusin de la raz o por
peticin de cambio de una
CA, Mozilla utiliza
declaraciones de auditora
pblica para ayudar a
confirmar que la CA est
Durante la evaluacin de
la inclusin de la raz o
peticin de cambio de una
CA, Mozilla utiliza
declaraciones de
auditoras pblicas para
ayudar a confirmar que la
cRLDistributionPoints or OCSP
authorityInfoAccess extensions
for which no operational CRL or
OCSP service exists
apartado 4 de la Poltica
de Inclusin Mozilla
Certificado CA:
o errores de codificacin
DER ASN.1;
o las claves pblicas no
vlidos (por ejemplo,
certificados RSA con
exponente pblico igual a
1);
o duplicar nombres de
emisor y de los nmeros
de serie;
o extensiones incorrectas
(por ejemplo, certificados
SSL que excluyen el uso de
SSL, o autoridad ID de
clave que incluyen tanto el
ID de la llave y del emisor
nombre del emisor y
nmero de serie); o
o cRLDistributionPoints o
extensiones OCSP
authorityInfoAccess para
los que no existe CRL o
OCSP servicio operacional
BR 9.2.1 - Nombre de
criptogrfico y requisitos
clave (Normativo) - Los
certificados deben cumplir
los siguientes requisitos para
el tipo de algoritmo y tamao
de la clave.
Algoritmo criptogrfico y
requisitos clave (Normativo)
- Los certificados deben
cumplir los siguientes
requisitos para el tipo de
algoritmo y tamao de clave.
RB Apndice B para
Certificados de Suscriptores
Extensiones certificadas
(normativas) - Este apndice
especifica los requisitos para
las extensiones de certificado
para los certificados
generados despus de la
Fecha Efectiva.
o errores de codificacin
DER ASN.1;
o Errores de codificacin
DER ASN.1;
o Nombres de emisor
duplicados y de nmeros de
serie;
o Extensiones incorrectas
(por ejemplo, certificados
SSL que excluyen el uso de
SSL, o Claves de autoridad
ID que incluyen tanto el ID
de la llave y del emisor
nombre del emisor y nmero
de serie); o
o cRLDistributionPoints o
extensiones OCSP
authorityInfoAccess para los
que no existe un servicio
operacional CRL o OCSP.
Por ltimo, hay un tipo de
errores que se pueden
encontrar durante la
evaluacin de una solicitud
de inclusin de la raz /
cambio, y resuelto por el CA
sin necesidad de una nueva
auditora. Si alguien reporta
este tipo de error, entonces el
CA debe corregir el error y
dar ejemplos para demostrar
que el problema se ha
resuelto. Ejemplos de este
tipo de error incluyen el
incumplimiento de lo
siguiente.
encontrar durante la
evaluacin de una solicitud
de inclusin de la raz /
cambio, que pueden ser
resueltos por el CA sin
necesidad de una nueva
auditora. Si alguien reporta
este tipo de error, entonces el
CA debe corregir el error y
dar ejemplos para demostrar
que el problema se ha
resuelto. Ejemplos de este
tipo de error incluyen el
incumplimiento de lo
siguiente.
Seccin de Mozilla CA
Certificado Poltica
CA
Conformance
to the BRs
No es suficiente simplemente
referir la seccin 11 de los RB del
Foro CA/Browser. RB # 11.1.1
listas varias maneras en que la CA
puede confirmar que el suscriptor
del certificado posee/controla el
nombre de dominio que se
incluir en el certificado. Una
simple referencia al Artculo 11
de los RB no especifica cul de
esas opciones la CA utiliza, y es
insuficiente para describir cmo
el CA se ajusta a los RB. CP/CPS
del CA deben incluir una
descripcin razonable de las
formas en que la CA puede
verificar que el suscriptor del
certificado posee/controla el(los)
nombre(s) de dominio que se
incluirn en el certificado.
Checking BR Compliance
BR 9.2.2 - Subject Common Name Field If present, this field MUST contain a
single IP address or Fully-Qualified
Domain Name that is one of the values
contained in the Certificates
subjectAltName extension
BR 9.4.1 - Subscriber
Certificates - Subscriber Certificates
issued after the Effective Date (1 July
2012) MUST have a Validity Period no
greater than 60 months. (exceptions
allowed)
(exceptions allowed)
of entropy.
Mozilla CA Certificate
Maintenance Policy section 9: all new
end-entity certificates must contain
at least 20 bits of unpredictable
random data (preferably in the serial
number).
https://wiki.mozilla.org/SecurityEngineeri
ng/mozpkix-testing#Behavior_Changes
Monitoring BR
Compliance
Monitoreo de
Cumplimiento BR
Monitoreo de
Cumplimiento de RB
certificado de la CA
subordinada dentro de los
siete (7) das si se presenta
uno o ms de los
siguientes: ... 5. La CA
emisora se le hace saber que
el certificado no fue emitido
de conformidad con los RB o
que CA subordinada no ha
cumplido con los requisitos
de base o la poltica de
certificados o Declaracin de
Prcticas de Certificacin;