為了提升憑證機構之資訊安全管理等級及所簽發憑證之公信力,委請稽核公司根據美國會計師協會(AICPA)與加拿大會計師協會(CPA)所制訂的AICPA/CICA WebTrust for CAs標準,提供類似財務簽證的方式來對憑證機構之金鑰生命週期管理、憑證生命週期管理、環境控制等,進行嚴格的稽核。取得WebTrust for CA稽核之PKI,才能向各大作業系統與瀏覽器廠商申請內建根憑證(Root CA憑證)於憑證機構信任清單,以利瀏覽安裝某個PKI 所發之SSL憑證的網站、收發安全電子郵件或驗證經過程式碼簽章之元件不會出現警示訊息。
當根憑證機構(Root CA) CA在網站揭露其業務實務運作資訊(包含憑證政策及憑證實務作業基準)給用戶(subscribers)和倚賴方(relying parties),根據其揭露的憑證政策及憑證實務作業基準提供服務,並在憑證機構環境控制(Environmental Controls)、金鑰管理(Key Management)和憑證生命週期管理(Certificate Life Cycle Management),符合以下之要求後:
| ● |
3 principles |
| |
•Business practices disclosure |
| |
|
*45 required disclosures |
| |
•Service Integrity |
| |
|
*33 criteria與182 illustrative controls |
| |
•CA environmental controls |
| |
|
*28 criteria and 165 illustrative controls |
| ● |
30topics (5 optional), 392 disclosures and controls |
憑證管理中心之網站可懸掛通過AICPA/CICA WebTrust for CAs的認證標章。每年度通過WebTrust for CA稽核,還有WebTrust證書(Certificate)、管理聲明、會計師事務所之稽核報告等產出文件。 |