WebTrust是由全球两大著名注册会计师协会AICPA(美国注册会计师协会)和CICA(加拿大注册会计师协会)共同制定的安全审计标准,主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。
WebTrust 是由全球两大著名注册会计师协会 AICPA(美国注册会计师协会)和 CICA(加拿大注册会计师协会)共同制定的安全审计标准,主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。
只有通过 WebTrust 国际安全审计认证,根证书才能预装到主流的浏览器而成为一个全球可信的认证机构。
Webtrust 认证是各大主流的浏览器、微软等大厂商支持的标准,是规范 CA 机构运营服务的国际标准。在浏览器厂商根证书植入项目中,必要的条件就是要通过 Webtrust 认证,才能实现浏览器与数字证书的无缝嵌入。
WebTrust 认证目的
WebTrust 认证是为了确保涉及电子商务交易、公共密钥基础设施(PKI)和密码学中遵循适当的程序。在网上信任和电子商务交易中,身份认证,信息隐私,交易完整性和安全性非常重要。而 CA 机构颁发的 PKI 和 SSL 证书可满足这些要求,认证机构验证组织/实体的身份。
CA 机构在网络安全领域中扮演着越来越重要的角色,虽然许多国家有专有的密码学使用标准和准则,数字证书的管理,以及 CA 的政策,但是这些标准并没有统一的使用。因此 AICPA / CICA 设定的全球认可的国际 WebTrust 认证,提升全球网络安全基准。
CA 机构管理层声明声明
CA 机构在获取 Webtrust 认证之前,必须先要发布 CA 机构管理层声明。
CA 机构的管理层确保以下几条:
管理层评估 CA 运作的控制工作。在该评估的基础之上,CA 机构应在管理意见书中应该指出,CA 机构提供认证服务的区域以声明涵盖的时间范围:
1、公布其密钥和证书生命周期的管理工作以及信息的保密工作,这些工作都符合公布出来的活动事项;
2、 维持有效控制以便适当保障以下方面:
——妥善验证用户信息(由 CA 机构开展的注册活动);
——确立其管理的密钥和证书,并在它们的生命周期内,保护密钥和证书的完整性。
3、维持有效控制以便适当保障以下方面:
——用户和证书信赖者信息的使用仅限于获得授权的人;
——保持密钥和证书生命周期管理的连续性;
——妥善授权并实施 CA 系统的发展、维护和运行工作,以保证建立在 AICPA/CICA 的 CA 网络信任标准基础上的 CA 系统的完整性。
获取 Webtrust 认证标章
要通过 Webtrust 认证,CA 机构还必须符合 WebTrust 的原则和标准。与此同时,还必须聘请 Webtrust 授权的执业人员(执业人员须持有 AICPA、CICA 或其他全国性的权威会计机构颁发的从业许可证)进行网络信任方面的服务;CA 机构必须得到该执业人员出示的无保留意见书。