一个受信任的SSL证书颁发机构需要满足哪些标准 – 作者:CA-沃通WoSign

SSL证书颁发机构也就是CA机构，想要成为一个合格且受信任的CA机构可不是一件容易的事情，它需要满足来自不同操作系统和浏览器的许多标准，详细如下：

1）微软根证书计划

Microsoft 的根证书计划使您可以在各种 Windows 操作系统之间分发受信任的根证书，以便应用程序可以使用它们作为参考。Windows 使用证书信任列表 (CTL) 来存储受信任和不受信任的根证书。

2）苹果根证书计划

Apple 的根证书计划使您能够跨 MacOS 和 iOS 系统、Apple 的 Safari 浏览器及其 Mail.app 存储和分发受信任的根证书。他们的许多 CA 计划要求都基于其他组织的审核和要求，包括 WebTrust 和 CA/浏览器论坛（CA/B 论坛）。

3）Chromium 项目根证书计划

该铬根计划是谷歌Chrome浏览器的版本，这个名单上的其他浏览器和操作系统提供的根程序。此根程序是 CA 将其根证书包含在 Chrome 根存储中的一组要求和政策。

4）Mozilla 的 CA 和根存储程序

让您的根 CA 为Mozilla CA 证书计划和根存储计划所知和认可，对于他们的产品和应用程序的信任是不可或缺的。这个根存储保存受信任的证书，以便他们的浏览器应用程序和其他软件产品可以访问它们。

5）CA/浏览器论坛基线要求

CA/浏览器论坛由数十个信任的 CA、浏览器平台和其他与安全相关的组织组成。他们的CA/B 论坛基线要求概述了证书颁发机构在几个关键领域获得公众信任必须满足的最低标准，包括：SSL/TLS 基线要求、代码签名基线要求以及网络安全要求。

6）CA 的 WebTrust 原则和标准以及从业者指南

WebTrust 的 PKI 保证工作组发布了多项原则和标准、指南和基线审计框架，授权第三方审计员使用这些框架来评估多个领域的 CA。（这些审计师对加拿大特许专业账户 [CPA Canada] 进行审计）。它们还为审计注册机构 (RA) 提供了原则和标准。WebTrust Task Force 发布了多个框架和文档，包括：CA 的原则和标准、参与适用性矩阵、扩展验证 SSL证书框架、带有网络安全框架的 SSL 基线、代码签名基线要求（常规证书和 EV 证书）以及注册机构的原则和标准。

能满足以上所有标准的一定是一家正规且受信任的CA机构，比如DigiCert、Comodo、GlobalSign等都是的。

来源：freebuf.com 2021-07-21 15:29:55 by: CA-沃通WoSign