WebTrust是什么

WebTrust是由全球两大著名注册会计师协会AICPA（美国注册会计师协会）和CICA（加拿大注册会计师协会）共同制定的安全审计标准，主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。

WebTrust 是由全球两大著名注册会计师协会 AICPA（美国注册会计师协会）和 CICA（加拿大注册会计师协会）共同制定的安全审计标准，主要对互联网服务商的系统及业务运作逻辑安全性、保密性等共计七项内容进行近乎严苛的审查和鉴证。

只有通过 WebTrust 国际安全审计认证，根证书才能预装到主流的浏览器而成为一个全球可信的认证机构。

Webtrust 认证是各大主流的浏览器、微软等大厂商支持的标准，是规范 CA 机构运营服务的国际标准。在浏览器厂商根证书植入项目中，必要的条件就是要通过 Webtrust 认证，才能实现浏览器与数字证书的无缝嵌入。

WebTrust 认证目的

WebTrust 认证是为了确保涉及电子商务交易、公共密钥基础设施（PKI）和密码学中遵循适当的程序。在网上信任和电子商务交易中，身份认证，信息隐私，交易完整性和安全性非常重要。而 CA 机构颁发的 PKI 和 SSL 证书可满足这些要求，认证机构验证组织/实体的身份。

CA 机构在网络安全领域中扮演着越来越重要的角色，虽然许多国家有专有的密码学使用标准和准则，数字证书的管理，以及 CA 的政策，但是这些标准并没有统一的使用。因此 AICPA / CICA 设定的全球认可的国际 WebTrust 认证，提升全球网络安全基准。

CA 机构管理层声明声明

CA 机构在获取 Webtrust 认证之前，必须先要发布 CA 机构管理层声明。

CA 机构的管理层确保以下几条：

管理层评估 CA 运作的控制工作。在该评估的基础之上，CA 机构应在管理意见书中应该指出，CA 机构提供认证服务的区域以声明涵盖的时间范围：

1、公布其密钥和证书生命周期的管理工作以及信息的保密工作，这些工作都符合公布出来的活动事项；

2、 维持有效控制以便适当保障以下方面：

——妥善验证用户信息（由 CA 机构开展的注册活动）；

——确立其管理的密钥和证书，并在它们的生命周期内，保护密钥和证书的完整性。

3、维持有效控制以便适当保障以下方面：

——用户和证书信赖者信息的使用仅限于获得授权的人；

——保持密钥和证书生命周期管理的连续性；

——妥善授权并实施 CA 系统的发展、维护和运行工作，以保证建立在 AICPA/CICA 的 CA 网络信任标准基础上的 CA 系统的完整性。

获取 Webtrust 认证标章

要通过 Webtrust 认证，CA 机构还必须符合 WebTrust 的原则和标准。与此同时，还必须聘请 Webtrust 授权的执业人员（执业人员须持有 AICPA、CICA 或其他全国性的权威会计机构颁发的从业许可证）进行网络信任方面的服务；CA 机构必须得到该执业人员出示的无保留意见书。