ผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์แห่งชาติ

โปรแกรมการเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับดับชั้นบนสุดภายใต้ไมโครซอฟต์ (Microsoft Root Certificate Program) คืออะไร?

โปรแกรมการเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุดภายใต้ไมโครซอฟต์ (Microsoft Root Certificate Program) นั้นจะช่วยสนับสนุนการเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Root Certificate) เพื่อก่อให้เกิดการมอบความไว้วางใจ (Trust) ระหว่างผู้ใช้บริการระบบปฏิบัติการ Microsoft Windows และผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ (Certification Authority: CA) ซึ่งในขณะนี้ทางไมโครซอฟต์ได้ดำเนินการอนุมัติผู้ให้บริการออกใบรับรองทั่วโลกเข้าร่วมโปรแกรมนี้รวมทั้งสิ้นเกือบ 100 ราย ซึ่งมีทั้งผู้ให้บริการออกใบรับรองเชิงพาณิชย์ และ ผู้ให้บริการออกใบรับรองภาครัฐ

ทำไมผู้ใช้งานจึงสามารถเชื่อใจผู้ให้บริการออกใบรับรองที่อยู่ภายใต้ Microsoft Root Certificate Program

โดยปกติแล้ว ผู้ให้บริการออกใบรับรองจะต้องตรวจสอบและยืนยันตัวตนของผู้ขอใช้บริการใบรับรองอิเล็กทรอนิกส์อย่างเหมาะสม และป้องกันไม่ให้มีการออกใบรับรองอิเล็กทรอนิกส์ให้กับผู้ที่จะนำใบรับรองไปใช้ในทางที่ผิด รวมทั้งต้องมีนโยบายในการเพิกถอนใบรับรองอิเล็กทรอนิกส์ที่เหมาะสมและทันต่อเหตุการณ์ ซี่งข้อกำหนดต่างๆ เหล่านี้ ผู้ใช้งานสามารถตรวจสอบได้จากเอกสารแนวปฏิบัติ (Certification Practice Statement: CPS) ของผู้ให้บริการออกใบรับรองแต่ละรายก่อนที่จะมอบความไว้วางใจ

แต่ในทางปฏิบัตินั้นเอกสารดังกล่าวมีรายละเอียดค่อนข้างมาก และมีศัพท์เฉพาะทาง ซึ่งยากต่อผู้ใช้งานที่จะเข้าใจได้โดยทั้งหมด ดังนั้น ไมโครซอฟต์จึงได้พัฒนาโปรแกรมนี้ขึ้น เพื่อช่วยตรวจสอบผู้ให้บริการออกใบรับรอง ก่อนที่จะเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Root Certificate) ของผู้ให้บริการออกใบรับรองรายนั้นบนระบบปฏิบัติการ Microsoft Windows โดยผู้ให้บริการออกใบรับรองรายนั้นจะต้องผ่านการตรวจประเมินจากผู้ตรวจประเมินที่มีคุณสมบัติเหมาะสม ตามมาตรฐานที่เป็นที่ยอมรับโดยทั่วไป

การเผยแพร่ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุดบนระบบปฏิบัติการ Microsoft Windows

ระบบปฏิบัติการ Microsoft Windows ในแต่ละรุ่นที่ออกจำหน่ายจะมีการปรับปรุงหรือเพิ่มเติมใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Root Certificate) อย่างสม่ำเสมอ หรือผู้ให้บริการออกใบรับรองสามารถใช้ช่องทาง Windows Update เพื่อนำใบรับรองอิเล็กทรอนิกส์ไปไว้ใน Trusted Root Certificate Authority ของระบบปฏิบัติการ Microsoft Windows ได้เช่นกัน

ข้อกำหนดทั่วไปของผู้ให้บริการออกใบรับรองที่ต้องการเข้าร่วมโปรแกรม

การเข้าร่วมโปรแกรมกับทางไมโครซอฟต์ผู้ให้บริการออกใบรับรองต้องผ่านข้อกำหนดขั้นต่ำดังนี้

1. ผู้ให้บริการออกใบรับรองเชิงพาณิชย์
   • ผู้ให้บริการออกใบรับรองต้องให้ข้อมูลที่จำเป็นแก่บริษัทไมโครซอฟต์เพื่อให้ได้รับการอนุมัติเบื้องต้นในการเข้าร่วมโปรแกรมนี้
   • ผู้ให้บริการออกใบรับรองต้องจัดเตรียมใบรับรองสำหรับทดสอบที่ออกโดยผู้ให้บริการระดับบนสุด (Root CA) รวมทั้งอาจให้ข้อมูล URL ที่ใช้เผยแพร่ใบรับรอง เพื่อใช้ในการตรวจสอบ
   • ผู้ให้บริการออกใบรับรองต้องมีการทำข้อตกลงร่วมกับบริษัทไมโครซอฟต์
   • ใบรับรองระดับบนสุด (Root Certificate) ต้องมีคุณสมบัติตามข้อกำหนดทางเทคนิคที่บริษัทไมโครซอฟต์ได้กำหนดไว้ โดยต้องมีการใช้คู่กุญแจแบบ RSA ขนาด 2048 บิตขึ้นไป (บริษัทไมโครซอฟต์จะไม่ยอมรับคู่กุญแจขนาด 1024 บิต) นอกจากนี้ใบรับรองควรจะมีอายุอย่างน้อย 8 ปีนับจากวันที่สมัคร และควรสิ้นอายุก่อนปี ค.ศ. 2030 หากมีการใช้คู่กุญแจขนาด 2048 บิต
   • ใบรับรองอิเล็กทรอนิกส์ลำดับชั้นบนสุด (Root Certificate) จะต้องระบุฟิลด์ CRL Distribution Point ซึ่งสามารถเข้าถึงได้จากสาธารณะ
   • ผู้ให้บริการออกใบรับรองต้องมีการกำหนดนโยบายในการเพิกถอนใบรับรองให้เป็นเอกสารที่ชัดเจน รวมทั้งต้องสามารถเพิกถอนใบรับรองใบใดๆ ก็ตามที่ตนได้สร้างขึ้น
   • ผู้ให้บริการออกใบรับรองต้องผ่านการตรวจประเมิน และส่งผลการตรวจประเมินให้กับบริษัทไมโครซอฟต์ทุกๆ 12 เดือน โดยการตรวจประเมินดังกล่าวต้องครอบคลุมโครงสร้าง PKI ทั้งระบบ ซึ่งรวมทั้งผู้ให้บริการออกใบรับรองลำดับรอง (Subordinate CA) ที่ออกใบรับรองในรูปแบบเฉพาะด้วย มาตรฐานการตรวจประเมินที่สามารถยอมรับได้ ประกอบด้วย
     • WebTrust for Certificate Authorities เวอร์ชั่น 1.0 หรือสูงกว่า ซึ่งถูกตรวจโดยผู้ตรวจประเมินที่ได้รับการขึ้นทะเบียน (Licensed WebTrust for CAs Auditor)
     • ETSI TS 101 456 เวอร์ชั่น 1.2.1 หรือสูงกว่า
     • ETSI TS 102 042 เวอร์ชั่น 1.1.1 หรือสูงกว่า
     • ISO 21188:2006 ?Public Key Infrastructure for Financial Services ? Practices and Policy Framework? ซึ่งได้รับการตรวจประเมินโดย WebTrust for CA Auditor หรือหน่วยงานตรวจประเมินซึ่งดำเนินการสอดคล้องตามกฎหมาย
2. ผู้ให้บริการออกใบรับรองภาครัฐ

   ในปัจจุบันนี้ จำนวนหน่วยงานภาครัฐทั้งหน่วยงานกลาง และหน่วยงานส่วนท้องถิ่นที่เพิ่มขึ้น ทำให้เกิดการจัดตั้งผู้ให้บริการออกใบรับรองของหน่วยงานภาครัฐเหล่านี้เพิ่มขึ้นตามไปด้วย โดยวัตถุประสงค์ของการจัดตั้งผู้ให้บริการออกใบรับรองดังกล่าวก็เพื่อใช้ออกใบรับรองสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์ประเภท G2G (Government to Government) หรือ C2G (Citizen to Government) อย่างไรก็ตาม หน่วยงานภาครัฐอาจดำเนินการจัดตั้งผู้ให้บริการออกใบรับรองเอง หรือมอบหมายให้ภาคเอกชนดำเนินการให้ แต่จะต้องสอดคล้องตามเอกสาร แนวปฏิบัติ (Certification Practice Statement: CPS) ที่ภาครัฐได้กำหนดไว้

   ทั้งนี้ทางไมโครซอฟต์ได้กำหนดไว้ว่าผู้ให้บริการออกใบรับรองภาครัฐจำเป็นต้องผ่านตามข้อกำหนดคุณสมบัติ ทั้งข้อกำหนดทั่วไป และข้อกำหนดทางเทคนิคในการเข้าสู่โปรแกรมนี้ โดยยกเว้นว่าไม่จำเป็นต้องตรวจประเมินได้ แต่จะต้องดำเนินการในลักษณะ Audit equivalency กล่าวคือ บริษัทไมโครซอฟต์ จะยอมรับเอกสารที่ออกโดยหน่วยงานภาครัฐ หรือผู้ตรวจประเมินจากภาคเอกชนเกี่ยวกับผลการตรวจประเมิน ซึ่งมีรายละเอียดเกี่ยวกับชื่อ มาตรฐานที่ใช้อ้างอิง วันที่ตรวจประเมินล่าสุด และความสอดคล้องกับมาตรฐานที่บริษัทไมโครซอฟต์ได้กำหนดไว้ (WebTrust for CA, ETSI TS 102 042, ETSI 101 456 หรือ ISO 21188)

ข้อยกเว้นของ Microsoft Root Certificate Program

ไมโครซอฟต์จะยอมรับผู้ให้บริการออกใบรับรองทุกรายไม่ว่าจะอยู่ในภูมิภาคใด มีขนาดหรือมีผู้ใช้บริการมากน้อยเพียงใด อย่างไรก็ตามไมโครซอฟต์ไม่อนุญาตผู้ให้บริการออกใบรับรองที่มีลักษณะตามด้านล่างนี้เข้าร่วมโปรแกรมดังกล่าว ซึ่งประกอบด้วย

• ผู้ให้บริการออกใบรับรองที่ออกใบรับรองเพื่อใช้ภายในหน่วยงาน หรือใช้ระหว่างคู่ค้าเท่านั้น (เช่น บริษัทในเครือ เป็นต้น) จะไม่สามารถเข้าร่วมโปรแกรมนี้ได้
• การใช้งานใบรับรองที่ออกโดย CA ต้องสามารถใช้งานได้ทั่วไป
• ผู้ให้บริการออกใบรับรองที่ไม่ผ่านการตรวจประเมิน หรือไม่ส่งผลการตรวจประเมินให้ทางไมโครซอฟต์พิจารณา หรือไม่สอดคล้องตามข้อกำหนดทั่วไป และข้อกำหนดทางด้านเทคนิค