Web Trust For CA的標章說明!

您在購買憑證產品的時候,是否有真的去看看標章?許多憑證的供應商,都說他們有通過Web Trust for CA的驗證,並取得標章,但是您知道取得的標章是哪一種嗎?分別代表的意義為何?我們來了解一下:

CA廠商如果有通過web trust for ca的認證的話,都會給予標章放置在CA商的網頁上,以資證明,但是!如果您仔細比較各家通過認證的廠商,放在網頁上的標章,有些很多,有些只有一個,這是怎麼回事呢?其實標章的不同,代表取得認證的不同,簡單說一下web trust for CA標章的代表意義,讓您清楚了解,您的CA廠商取得哪些認證的標章,而取得的標章跟所能經營的產品也有關係喔!

此標章為最基本的認證標章,所有CA廠商要執行CA業務時,最基本都必須取得此項認證,您會發現,不論哪一個CA廠商,網站上一定都有這個標章,如果沒有這個標章而有其他標章,那是有問題的!

此標章為取得要執行Extended Validation(擴展延伸認證)憑證業務的標章(圖中間有一個深色條狀圖示,上面有Extended Validation字樣),EV SSL目前為最嚴謹的SSL憑證產品,採取高規格的驗證程序,因此對於CA廠商的認證要求也提高,能夠取得此項認證的標章廠商才能執行EV SSL憑證的相關業務,而且年年受稽.

此標章為通過cabforum制定的Baseline Requirements認證而取得的標章(圖中間有一個綠色條狀圖示,上面有BR-SSL字樣),以往web trust for CA制定一些相關的認證規範,逐步回歸到國際專業組織(cabforum)的手上,依據過往經驗與實際經營業務遇到的問題(因為cabforum是由CA廠商,瀏覽器廠商與其他資安廠商組成),來修訂相關的認證基準,而Baseline Requirements就是由此而來,目前此項認證也變成CA廠商爭相通過的項目,您也可以發現到,有些CA廠商並沒有取得此項認證,這值得玩味!

此標章不一定CA廠商需要通過才能經營CA業務,這是option,此標章主要是組織通過服務組織控制SOC(Service Organization Control) 3的驗證取得的標章,SOC 3的針對外包服務(outsourced service)提出的內部控制的報告,針對與組織相關的上下游合作廠商對於客戶資訊的保護與處理,取得此標章可以讓客戶更提升組織的資料處理的信心,它跟ISO27001的報告有些類似,不過認證的組織不同,SOC是AICPA而ISO27001則是ANAB,認證周期也不同,SOC每半年或者一年,ISO27001是3年,取得此標章也是有會計師的簽認.

以上的標章點擊後都會到Web Trust for CA的官網,並顯示認證的資料以及相關的認證文件掃描版,有興趣的人可以點擊看看內容!