Codul de Practici și Proceduri. pentru certificate calificate pentru autentificarea site-urilor Web. Versiunea 1.5.

Transcription

1 Codul de Practici și Proceduri certsign Web CA pentru certificate calificate pentru autentificarea site-urilor Web Versiunea 1.5 Data: 21 Mai

2 Notă importantă Acest document este proprietatea CERTSIGN SA Distribuirea și reproducerea fără acordul CERTSIGN SA sunt interzise Copyright CERTSIGN 2017 Adresa: Bd. Ti mi ș o a r a, n r. 5A, Sector 6, , București, România Telefon: Fax: Web: 2

3 Istoric document Versiune Data Motiv Persoana care a făcut modificarea 1.0 Martie 2017 Publicarea primei versiuni Ofițer securitate informatică 1.1 Aprilie 2017 Actualizare minoră, pentru clarificare Ofițer securitate informatică 1.2 August 2017 Actualizare minoră, pentru clarificare Ofițer securitate informatică Septembrie 2017 S-a creat o adresa speciala pentru raportarea de certificate cu probleme. La capitolul Revocarea si suspendarea certificatelor s-a adaugat un subcapitol dedicat raportarii certificatelor cu probleme CISO 1.4 Februarie 2018 Revizuire anuală Ofițer securitate informatică 1.5 Mai 2018 Actualizare conform Forum CAB, Cerința a BaseLine respectiv GDPR 3

4 cest document a fost creat de către și este proprietatea: Proprietar Autor Data creării Ofițer Securitate Informatică Ofițer Securitate Informatică February 2017 Lista de distribuție Destinație Data distribuirii Public-Internet Aprilie 2017 Public-Internet 6 Septembrie 2017 Public-Internet Mai 2017 Acest document a fost aprobat de: Versiune Nume 1.0 Comitet de Management al Politicilor și Procedurilor (PPMB) 1.1 Comitet de Management al Politicilor și Procedurilor (PPMB) 1.2 Comitet de Management al Politicilor și Procedurilor (PPMB) 1.3 Comitet de Management al Politicilor și Procedurilor (CMPP) 1.4 Comitet de Management al Politicilor și Procedurilor (CMPP) 1.5 Comitet de Management al Politicilor și Procedurilor (CMPP) Data Martie 2017 Aprilie 2017 August Septembrie 2017 Februarie 2018 Mai

5 Content Descriere generală a CPP Denumirea documentului și identificarea acestuia Participantii PKI Autoritățile de certificare Autoritatea de Înregistrare Beneficiarii Entitățile Partenere Alți participanți Utilizarea certificatului Utilizări admise Utilizari excluse Administrarea politicii Organizația care administrează documentul Persoana de contact Persoana care decide conformitatea CPP cu politica Procedurile de aprobare a CPP Definiții și acronime Depozitare Publicarea informațiilor de certificare Timpul sau frecvența publicării Controlul accesului la Depozitare Nume Tipuri de nume Anonimitatea sau pseudonimitatea beneficiarilor Reguli de interpretare a diferitelor formate de nume

6 Unicitatea numelor Recunoașterea, autentificarea și rolul mărcilor înregistrate Validarea Inițială a Identității Dovada Posesiei Cheii Private Autentificarea identității entitatii legale Autentificarea identității persoanelor fizice Informații neverificate ale Beneficiarului Validarea autorității Criterii pentru interoperare Identificarea și autentificarea pentru cererile de re-key Identificarea și autentificare pentru re-key de rutină Identificarea și autentificarea pentru re-key după revocare Identificarea și autentificarea pentru cererile de revocare Cererea de certificat Autorizarea Autoritatii de Certificare Cine poate trimite o cerere de certificat Procesul de înregistrare și responsibilitățile Procesarea cererilor de certificate Îndeplinirea funcțiilor de identificare și autentificare Aprobarea sau respingerea cererilor de certificate Timpul de proceare a cererilor de certificate Emiterea certificatelor Acțiunile CA în timpul emiterii certificatelor Notificarea Subiectului de către CA cu privire la emiterea certificatului 42 Acceptarea certificatului Conduita care constituie acceptarea certificatului

7 4.4.2 Publicarea certificatului de către CA Notificarea de către CA a altor entități cu privire la emiterea certificatului Utilizarea perechii de chei și a certificatului Utilizarea cheii private și a certificatului Beneficiarului Utilizarea cheii publice și a certificatului unei Entități Partenere Reinnoirea certificatului Rekey-ul certificatului Circumstante pentru rekey-ul certificatului Cine poate solicita certificarea unei noi chei publice Procesarea cererilor de re-key a certificatelor Notificarea emiterii noului certificat către Beneficiar Conduita ce constitue acceptarea unui certificate re-key Publicarea certificatului re-key de către CA Notificarea eliberării certificatului de către CA altor entități Modificarea Certificatului Revocarea certificatului Circumstanțele revocării unui certificat Cine poate solicita revocarea certificatelor Procedura de revocare a certificatelor Procedura de raportare a problemelor certificatelor Perioada de grație a cererii de revocare Timpul în care CA trebuie să proceseze cererea de revocare Verificarea cerințelor de revocare pentru Entitățile Partenere Frecvența de emitere a CRL-urilor Latența maximă pentru CRL-uri Disponibilitatea verificării on-line a revocării/stării

8 Verificarea on-line a cerințelor de revocare Alte forme disponibile pentru anunțarea revocării Cerințe speciale în cazul compromiterii re key Circumstanțe pentru suspendare Cine poate solicita suspendarea Procedura de solicitare a suspendării Limitări ale perioadei de suspendare Servicii privind starea certificatelor Caracteristici operaționale Disponibilitatea serviciului Elemente opționale Încetarea abonamentului Custodie și recuperare chei Controale fizice Amplasarea și construcția sediului Accesul fizic Alimetarea cu curent și aerul conditionat Expunerea la apă Prevenirea și protecția împotriva incendiilor Depozitarea mediilor de stocare a informaţiilor Aruncarea deșeurilor Stocarea copiilor de siguranță în afara locației Controale procedurale Roluri de încredere Numărul de persoane necesare pentru fiecare sarcină Identificarea și autentificarea pentru fiecare rol

9 5.2.4 Rolurile care necesită separarea sarcinilor Controlul personalului Calificări, experință și aprobări necesare Proceduri de verificare a antecedentelor Cerinţele de pregătire a personalului Frecvența și secvența rotației posturilor Frecvența și secvența rotației posturilor Sancțiunile pentru acțiunile neautorizate Cerințele pentru contractanții independenți Documentația oferită personalului Procedurile de înregistrare a datelor de audit Evenimente Înregistrate Frecvența procesării jurnalelor de evenimente Perioada de pastrare a log-urilor de audit Protecția jurnalelor de evenimente Procedura de backup a log-urilor Audit collection system (internal vs. external) Notification to event-causing subject Evaluări de vulnerabilitate Arhivarea înregistrărilor Tipuri de date arhivate Perioada de retenție a arhivei Protecția arhivei Procedurile de back-up al arhivei Cerințe privind marcarea temporală a înregistrărilor Sistemul de colectare al arhivei (intern sau extern)

10 5.5.7 Procedura de obțienere și verificare a informațiilor arhivate Schimbarea cheilor Compromiterea și recuperare în caz de dezastru Procedurile de administrare a a incidentelor și compromiterilor Compromiterea resurselor de calcul, a aplicațiilor software și/sau datelor Proceduri care se aplică la compromiterea cheii private a unei entitati Capacități de Continuitate a afacerii în caz de dezastru Încetarea activității Autorității de Certificare sau a Autorității de Înregistrare Cerințe asociate transferului responsabilității Certification Emiterea certificatelor de către succesorul Autorității de Certificare care își încetează activitatea Scopurile în care pot fi utilizate cheile (conform câmpului de utilizare a cheilor X.509 v3) Controalele și standardele modulelor criptografice Evaluarea Modulului Criptografic Controale de Securitate ale computerelor Elementele de control specifice modulelor criptografice Numerele de versiune Extensii de certificate Obiecte de identificare a algoritmului Formulare de nume Constrangeri privind numele Obiecte de identificare a politicii certificatelor Utilizarea extensiei Constrângeri de politică Sintaxa și semantica atributelor de politică Semantica de procesare pentru extensia Politici critice de certificare

11 Profilul CRL Numerele de versiune Profilul OCSP Numarul versiunilor Extensii OCSP Frecvența sau circumstanțele de evaluare Identitatea / calificările evaluatorului Relația evaluatorului cu entitatea evaluată Subiectele acoperite de evaluare Acțiuni întreprinse ca urmare a deficienței Comunicarea rezultatelor Audituri interne Tarife Răspunderea financiară Acoperirea garantiei Alte active Asigurarea sau acoperirea garanției pentru entitățile finale Confidențialitatea informațiilor de afaceri Scopul informatiilor confidentiale Informații care nu sunt considerate a fi confidențiale Responsibilitatea de a proteja informațiile confidențiale Confidențialitatea informațiilor personale Planul de asigurare a protectiei datelor cu caracter personal Informatii considerate ca fiind cu caracter personal Informații care nu sunt considerate private Responsabilitatea de a proteja informațiile private

12 9.4.5 Notificarea persoanelor vizate si consimtamantul acestora pentru utilizarea datelor cu caracter personal Divulgare ca urmare a unui process administrativ sau juridic Alte circumstante pentru divulgare Drepturile de Proprietate Intelectuală Reprezentări și garanții Reprezentările și garanțiile CA Reprezentările și garanțiile RA Reprezentările și garanțiile Subiectului Reprezentările și garanțiile Entităților Partenere Reprezentările și garanțiile altor participanti Renunțarea la garanții Limitarea răspunderii Despagubiri Termenii și încetarea Termenii Incetarea Efectul terminării și supraviețuirii Notificări individuale și comunicarea cu participanții Amendamente Procedura pentru amendamente Mecanismul de notificare și perioada Circumstanțele în care OID trebuie schimbat Procedurile de soluționare a litigiilor Legea aplicabilă Conformitatea cu legea aplicabilă Prevederi diverse

13 Întregul acord Cesiunea Anulabilitate Executarea Forta Majora Alte prevederi

14 1 Introducere Codul de Practici și Proceduri pentru certificate calificate dedicate Autentificarii site-urilor Web certsign Web CA (denumit în continuare CPS QC Web CA sau CPS) descrie în detaliu politica de certificare și practicile pe care certsign le aplică în emiterea de certificate calificate de catre Autoritatea de certificare subordonata Web CA subordinate. Structura și conținutul CPP respectă recomandările RFC 3647 și versiunile curevte ale: ETSI EN EVCP ETSI EN QCP-w CA/B FORUM - SSL EV Descriere generală a CPP CPP reprezinta documentul de baza pentru functionarea CERTSIGN și a Autoritatii de Certificare, Autoritatii de Inregistrare și a Entitatilor Partenere privind emiterea de certificate calificate pentru autentificarea site-urilor web. De asemenea, acest document descrie regulile de prestare a serviciilor de certificare cum ar fi înregistrarea Beneficiarilor, certificarea cheilor publice, înnoirea cheilor şi revocarea certificatelor. Denumirea documentului și identificarea acestuia Acest document reprezinta CPP pentru certificate calificate pentru Autentificarea Site-urilor Web a certsign Web CA. Urmatorul OID este inregistrat de CERTSIGN pentru includere în toate certificatele QCW: Versiunea electronica a acestui document este disponibila În Depozitar la adresa: Participantii PKI CPS QC Web CA reglementează cele mai importante relații dintre entitățile aparținând certsign, echipele de consultanți (inclusiv auditorii) și clienții (utilizatorii serviciilor furnizate): Autoritățile de certificare: o certsign Web CA Autoritatea de Înregistrare, Depozitar, Online certificate status protocol (OCSP), Subiecții, Beneficiarii, Entitățile Partenere, Furnizorii relevanți ai certsign din punct de vedere al emiterii și managementului certificatelor digitale, Comitetul de Management al Politicilor și Procedurilor. certsign oferă servicii de certificare pentru orice persoană fizică sau juridică care este de accord cu prevederile prezentului CPP. Scopul acestor practici (ce include procedurile de generare a cheilor, procedurile de emitere a certificatelor şi securitatea sistemului 14

15 informaţional) este acela de a garanta utilizatorilor serviciilor certsign că nivelele de credibilitate declarate ale certificatelor emise corespund practicilor Autorităţii de certificare Autoritățile de certificare Autoritatea de Crtificare certsign Web CA este Autoritatea de certificare pentru domeniul CERTSIGN, subordonata certsign ROOT CA G2. certsign Web CA este identificat prin urmatorul OID: certsign ROOT CA G2 certsign Web CA OID: Qualified certificate for Website Authentication certificate (QCW SSL) OID: OCSP certificate OID: Autoritatea de Certificare certsign Web CA poate inregistra și emite certificate doar pentru servere web Autoritatea de Înregistrare Autoritatea de Înregistrare primeşte, verifică și aprobă sau respinge cererile de înregistrare şi emitere de certificate, de rekey certificat sau revocare a certificatelor. Verificarea cererilor are ca scop autentificarea (pe baza documentelor incluse în cereri) atât a beneficiarului/subiectului, cât şi a datelor incluse în cerere. Autoritatea de Înregistrare poate trimite cereri către Autoritatea de Certificare corespunzătoare pentru a anula o cerere sau pentru a retrage un certificat. Autoritatea de Înregistrare este operată de certsign sau de către o terță parte delegată, dacă legislația permite acest lucru. Inainte ca CERTSIGN sa autorizeze o terță parte delegată pentru a realiza o functie delegata, CERTSIGN solicita prin contract terței parti delegate sa indeplineasca conditiile stipulate în documentul Cerinte pentru Autoritatea de Inregistrare a unei terțe parti delegate pentru certsign Web CA pentru certificate QCW SSL Beneficiarii Beneficiar Beneficiarii sunt persoane juridice sau fizice care solicită certsign emiterea unui certificat și cu care aceștia semnează un Acord contractual. Beneficiarii pot solicita eliberarea, revocarea sau re-key-ul certificatelor entității finale pentru subiecții aflați în grija lor. Un beneficiar este, 15

16 de asemenea, responsabil pentru notificarea imediată a Certsign la (suspiciunea) de compromitere a cheii private. Subiect Subiectul este entitatea (persoana juridică sau fizică) căreia îi este eliberat un certificat și care este identificată într-un certificat ca titular al cheii private asociate cheii publice din certificat. Subiectul poate fi: Beneficiarul, în cazul în care solicită certificatul pentru el însuși/ea însăși, O persoană fizică pentru care Beneficiarul solicită certificatul, având un acord contractual sau acționând ca angajator al său O persoană juridică pentru care Beneficiarul solicită certificatul Un Subiect este responsabil, de asemenea, de: Notificarea imediată a certsign în cazul (suspiciunii de) compromiterii cheii private; Trimiterea către certsign a cererilor de reînnoire a cheilor și/sau certificatelor în timp util; Asigurarea faptului că confidențialitatea cheii sale private este protejată într-o manieră care este compatibilă cu acest document; Asigurarea faptului că accesul la cheia sa privată este controlat într-o manieră care este compatibilă cu acest document Entitățile Partenere O Entitate Parteneră care folosește serviciile certsign poate fi orice entitate care ia decizii bazate pe corectitudinea legăturii dintre identitatea Subiectului și cheia publică O Entitate Parteneră este responsabilă de modul cum verifică starea curentă a certificatului unui Subiect. O astfel de decizie va fi luată de fiecare dată când o Entitate Parteneră dorește să utilizeze un certificat pentru a verifica o semnătură electronică, pentru a verifica identitatea sursei sau autorul unui mesaj sau pentru a crea un canal de comunicare securizat cu Subiectul certificatului. O Entitate Parteneră va utiliza informațiile dintr-un certificat (de exemplu identificatori și calificatori ai politicii de certificare) pentru a decide dacă un certificat a fost utilizat în concordanță cu scopul definit Alți participanți Comitetul de Management al Politicilor și Procedurilor este un Comitet creat în cadrul CERTSIGN de către Consiliul de administrație pentru a supraveghea înreaga activitate a Autorităților de Certificare și a Autorităților de Înregistrare ale CERTSIGN. Rolurile și responsabilitățile PPMB sunt descrise în documentația internă. Furnizorii de servicii ai CERTSIGN: furnizori externi care sprijină activitățile CERTSIGN pe baza unui acord contractual semnat. Notarii publici: pot efectua identificarea și garanta pentru identitatea reală a Subiecților. Utilizarea certificatului Scopul specific al certificatelor QCW (QCW) este descries în Regulamentul EU 910/2014. Aria de aplicabilitate a certificatelor stabileşte scopul în care poate fi folosit un certificat. Acest scop este definit de două elemente: Unul care defineşte aplicabilitatea certificatului 16

17 Și unul care presupune o listă sau o descriere a aplicaţiilor permise sau interzise. QCW emis conform prezentului CPS sunt pentru certificate de încredere publice utilizate pentru a identifica serverele web accesate prin intermediul protocolului TLS sau SSL conform IETF RFC 5246 [i.11] Utilizări admise Scopul principal al QCW este sa: 1. Identifice persoana juridică care controlează un site Web: Furnizeze o asigurare rezonabilă pentru utilizatorul unui browser de internet că site-ul web pe care îl accesează este controlat de o entitate juridică specifică identificată în QCW după numele, adresa sediului social, Jurisdicția de înmatriculare sau Numărul de înregistrare sau alte informații disambiguante; și 2. Activeze comunicațiile criptate cu un site web: Faciliteze schimbul de chei de criptare pentru a permite comunicarea criptată a informațiilor prin Internet între utilizatorul unui browser de Internet și un site web. Scopul secundar al QCW este de a ajuta la stabilirea legitimității unei afaceri care pretinde că operează un site web și să ofere un vehicul care poate fi utilizat pentru a ajuta la rezolvarea problemelor legate de phishing, malware și alte forme de fraudă a identității online. Prin furnizarea de informații legate de identitatea și adresa proprietarul afacerii, verificate de la terți, și mai fiabile, QCW vă poate ajuta sa: 1. Faca mai dificil accesul la phishing și alte atacuri de fraudă online prin intermediul certificatelor; 2. Asiste companiile care ar putea fi ținta atacurilor de tip phishing sau a fraudei de identitate online oferindu-le un instrument pentru a se identifica mai bine catre utilizatori; și 3. Asiste organizațiilor de aplicare a legii în investigațiile privind phishingul și alte fraude de identitate online, inclusiv, după caz, contactarea, investigarea sau luarea de măsuri împotriva subiectului Utilizari excluse QCW se concentrează numai pe identitatea subiectului numit în certificat și nu pe comportamentul subiectului. Ca atare, un QCW nu intenționează să ofere nicio asigurare, să reprezinte sau să garanteze ca: 1. Subiectul numit în QCW este implicat activ în desfășurarea afacerilor; 2. Subiectul numit în QCW respectă legile aplicabile; 3. Subiectul numit în QCW este demn de încredere, cinstit sau reputat în relațiile sale de afaceri; sau 4. Este "sigur" să faceți afaceri cu Subiectul numit în QCW. Administrarea politicii Organizația care administrează documentul Prezentul document este administrat de către Comitetul de Management al Politicilor și Procedurilor (PPMB) al TSP certsign. PPMB include membri seniori din conducere, precum și personalul responsabil pentru gestionarea operațională a mediului PKI al TSP certsign. 17

18 Nume S.C. CERTSIGN S.A. Punct de lucru: Bd. Timișoara, nr. 5A, Sector 6, București, România, CP Registrul comerțului: J40/484/2006 CUI: RO Sediul social: Șos. Olteniței 107A, clădirea C1, etaj 1, camera 16, Sector 4, București, România, Cod postal Telefon (+4021) Fax (+4021) Web Tabel: Organizatia ce administreaza documentul Persoana de contact Nume Comitetul de Management al Politicilor și Procedurilor (PPMB) Telefon (+4021) Fax (+4021) Web Tabel: Persoana de contact Persoana care decide conformitatea CPP cu politica Nume Comitetul de Management al Politicilor și Procedurilor (PPMB) Telefon (+4021) Fax (+4021) Web Table: Persoana care decide conformitatea CPP cu politica Procedurile de aprobare a CPP Fiecare versiune a acestui CPS este în vigoare (are un statut valid) până la momentul publicării și aprobării noii sale versiuni. O nouă versiune este dezvoltată de Comitetul de Management al Politicilor și Procedurilor și a fost publicată pentru comentarii cu statutul: urmează să fie aprobat (dacă este cazul). La primirea și includerea observațiilor, CPP este furnizat pentru aprobare internă. După finalizarea procedurii de aprobare, o nouă versiune a CPP este publicată și etichetata ca valida. Regulile și cerințele privind gestionarea CPP guvernează și managementul politicii de certificare. Subiecții trebuie să respecte numai CPP aplicabil în prezent. Dacă, în termen de 30 de zile de la publicarea propunerilor de modificare a CPP, CERTSIGN nu primește observații semnificative cu privire la aceste modificări, o nouă versiune a CPP, cu 18

19 status spre aprobare, devine un document de guvernare al politicii de certificare, respectat de toti Subiectii CERTSIGN, Iar starea versiunii este modificată în valid. Subiecții/Beneficiarii care nu acceptă noii termenii și reglementările modificate ale CPP, sunt obligaţi să depună, în termen de 15 zile de la data la care noua versiune a CPP a fost aprobată, o declaraţie în acest sens. Acest lucru va duce la încetarea contractului de prestări servicii de certificare și la revocarea certificatului emis în baza acestuia. Definiții și acronime Acces Abilitatea de a utiliza și de a folosi orice resursă a sistemului informațional. Control acces Procesul de acordare a accesului la resursele sistemului de informații numai utilizatorilor, aplicațiilor, proceselor și altor sisteme autorizate. Audit Executarea unei revizuiri și evaluări independente a sistemului cu scopul de a testa caracterul adecvat al controalelor implementate de management al sistemului, de a verifica dacă funcționarea sistemului este efectuată în conformitate cu politica de certificare acceptată și reglementările operaționale rezultate, pentru a descoperi posibilele lacune de securitate și de a recomanda eventuale modificari măsurilor de control, politicii de certificare și procedurile aferente. Date de audit Înregistrări cronologice ale activităților sistemului, permițând reconstrucția și analiza secvenței evenimentului și modificarea sistemului, asociată cu evenimentul înregistrat. A autentifica confirmarea identitatii declarate a unei entitati. Autentificare Controalele de securitate care vizează asigurarea fiabilității datelor transferate, a mesajelor sau a expeditorului acestora sau controalele privind verificarea autenticității unei persoane, înainte de furnizarea unui tip de informații clasificate. Perioada de activitate a certificatului Perioada dintre data începerii și sfârșitului valabilității certificatului sau perioada cuprinsă între data începerii perioadei de valabilitate a certificatului și momentul revocării acestuia. Calea de certificare Cale ordonata a certificatelor, ce porneste de la un certificat ce este punctul de încredere ales de un verificator până la un certificat supus verificării. O cale de certificare îndeplinește următoarele condiții: Pentru toate certificatele cert(x) incluse în calea de certificare {cert(1), cert(2),..., cert(n-1)} Subiectul certificatului cert(x) este emitentul certificatului cert(x+1), certificatul cert(1) este emis de o Autoritate de Certificare (punct de incredere) în care verificatorul are incredere, cert(n) reprezinta certificatul ce este verificat. Fiecare cale de certificare poate fi limitată cu una sau mai multe politici de certificare sau o astfel de politică ar putea să nu existe. Politicile atribuite unei căi de certificare sunt intersecția dintre politicile ale căror elemente de identificare sunt incluse în fiecare certificat, încorporate în calea de certificare și definite în extensia certificatepolicies. Politica de certificare Document realizat ca un set de reguli strict respectate de către o autoritate emitentă în timpul furnizării de servicii de certificare. Revocarea certificatului Definește procedurile privind revocarea unei perechi de chei valide (revocarea certificatului) în cazul în care accesul la perechea de chei trebuie restricționat pentru a împiedica posibila utilizare în criptarea sau crearea semnăturii electronice. Un certificat revocat este plasat pe Lista certificatelor revocate (CRL). 19

20 Certificate Revocation List (CRL) lista generate periodic sau imediat, semnata electronic de catre o autoritate, permițând identificarea certificatelor supuse revocării înainte de expirarea perioadei de valabilitate. CRL contine numele emitentului CRL, data publicarii, data urmatorului update, numerele seriale ale certificatelor revocate și datele și motivele revocarii. Certificat și Publicarea CRL Proceduri de distribuire a certificatelor emise și a certificatelor revocate. Furnizor de servicii de certificare institutie de incredere (incluzand dispozitivele hardware aflate sub controlul sau) parte a unui tert de încredere care oferă servicii capabile să creeze, să semneze și să emită certificate sau servicii de non-repudiate. Aprobator certificat - Persoana fizică care este fie solicitantul, un angajat al solicitantului, fie un agent autorizat care are autoritatea expresă de a reprezenta solicitantul pentru ca să (i) acționeze în calitate de solicitant de certificare și să autorizeze alți angajați sau terți să acționeze în calitate de solicitanti de certificare, Și (ii) să aprobe cererile QCW depuse de alți solicitanti de certificate. Solicitant al certificatului - Persoana fizică care este fie solicitantul, un angajat al solicitantului, un agent autorizat care are autoritatea expresă de a reprezenta solicitantul, sau o terță parte (cum ar fi un furnizor de servicii Internet sau o companie de hosting) care completează și depune o solicitare QCW în numele Solicitantului. Solicitare de confirmare - O comunicare adecvată offline care solicită verificarea sau confirmarea faptului particular în cauză. Persoana care confirma - O poziție în cadrul unei organizații solicitante care confirmă faptul particular în cauză. Semnatarul contractului - Persoană fizică care este fie solicitantul, un angajat al solicitantului, fie un agent autorizat care are autoritatea expresă de a reprezenta solicitantul și care are autoritatea în numele solicitantului de a semna contracte. Cross-certificate public key certificate issued to a Certification Authority, containing different names of the issuer and the subject; a public key of this certificate may be used solely for electronic signature verification. It is clearly indicated that the certificate belongs to the Certification Authority. Cross-certificare Procedura de emitere a unui certificat de către o autoritate de certificare către o altă autoritate de certificare, care nu este afiliată direct sau indirect la autoritatea emitentă. De obicei, se eliberează un certificat încrucișat pentru a simplifica construirea și verificarea căilor de certificare care conțin certificate emise de diferite CA. Emiterea unei certificări încrucișate poate fi efectuată pe baza unui acord reciproc între două autorități de certificare care isi eliberează reciproc un certificat inscrusisat. Modul criptografic Setul format din hardware, software, microcod sau combinația acestora, efectuând operații criptografice (inclusiv criptare și decriptare) executate în zona acestui modul criptografic. Nume distinctiv (DN) Set de atribute care formează un nume distinctiv al unei entități juridice / fizice și care o deosebeste (pe entitate) de alte entități de același tip. Semnatura electronica Transformarea criptografică a datelor care să permită destinatarului de date să verifice originea și integritatea datelor, precum și protecția expeditorului și destinatarului împotriva falsificării de către destinatar; Semnăturile electronice asimetrice pot fi generate de o entitate prin intermediul unei chei private și al unui algoritm asimetric, de ex. RSA. Entitate finala Entitate autorizată care utilizează certificatul ca Subiect sau ca o Entitate Partenera (nu se aplică autorităților de certificare). 20

21 Sistem informational Întreaga infrastructură, personalul și componentele utilizate pentru asamblarea, prelucrarea, stocarea, transmiterea, publicarea, distribuirea și gestionarea informațiilor. Transformarea starii cheilor Starea unei taste poate fi modificată numai atunci când apare una dintre următoarele transformări (conform ISO/IEC ): Generare Procesul de generare a cheilor; Generarea de chei ar trebui să fie efectuată în conformitate cu procedurile acceptate de generare a cheilor; Procesul poate include procedura de testare, care vizează punerea în aplicare a regulilor de generare a cheilor, Activare Rezultă că cheia devine validă și disponibilă pentru realizarea de operatii criptografice, Dezactivare Constrângerea unei chei; Situația poate apărea din cauza expirării perioadei de valabilitate a unei chei, Reactivare Permite utilizarea ulterioară a cheii în starea de nedisponibila pentru realizarea de operatiuni criptografice, Distrugere Duce la terminarea ciclului de viață al cheii; Această noțiune înseamnă distrugere logică, dar se poate aplică și distrugerii fizice. Obiect Obiect cu acces controlat, de exemplu un fișier, o aplicație, zona din memoria principală, ansamblul și datele cu caracter personal păstrate. Identificator de obiect (OID) identificator alphanumeric / numeric inregistrat în conformitate cu standardul ISO / IEC 9834 și descriind în mod unic un obiect specificat sau clasa sa. Cheie privata una dintre cheile asimetrice care aparţin unui Subiect şi care este folosită numai de acel Subiect. În cazul sistemelor cu chei asimetrice, o cheie privată descrie transformarea unei semnături. În cazul sistemului asimetric de criptare, o cheie privată descrie transformarea care are loc la decriptare. Cheia privată este (1) cheia al cărei scop este decriptarea sau crearea de semnătură pentru uzul exclusiv al proprietarului; (2) acea cheie dintr-o pereche de chei care este cunoscută numai proprietarului. Procedură privind operațiunile în caz de situații de urgență - Procedura fiind alternativa unei căi procedurale standard și executată la apariția situației de urgență. Punct de incredere Cea mai de încredere autoritate de certificare, în care un subiect sau o entitate partenera are încredere. Un certificat al acestei autorități este primul certificat din fiecare cale de certificare creată de un subiect sau de o entitate partenera. Alegerea punctului de încredere este, de obicei, impusă de politica de certificare care guvernează funcționarea entității care emite un certificat dat. Dovada deținerii cheii private Informațiile transmise de un subiect într-un mod care să permită destinatarului să verifice valabilitatea legăturii dintre expeditor și cheia privată, accesibilă expeditorului; Metoda de a dovedi posesia cheii private depinde, de obicei, de tipul de chei angajate, de exemplu în cazul cheilor de semnare este suficient să se prezinte textul semnat (verificarea cu succes a semnării este dovada posesiei cheii private), în timp ce în cazul cheilor de criptare, Subiectul trebuie să fie capabil să decripteze informațiile criptate cu o cheie publică aflata în posesia sa. CertSIGN efectuează verificarea asocierilor dintre perechile de chei utilizate pentru semnare și criptare numai la nivelul Autorității de înregistrare și de certificare. Cheie publică una dintre cheile perechii de chei asimetrice ale unui Subiect, care poate fi disponibilă publicului. În cazul sistemelor de criptare asimetrică, cheia publică defineşte transformarea de verificare a semnăturii. În cazul criptării asimetrice, cheia publică defineşte transformarea mesajelor la criptare. 21

22 Certificat cu cheie publica O structură de date care conține cel puțin numele sau identificatorul unei autorități de certificare, identificatorul unui subiect, cheia publică a acestuia, perioada de valabilitate, numărul de serie și cel atribuit de autoritatea de certificare. Un certificat poate fi în una din cele trei stări de bază: așteptare pentru activare, activă și inactivă. Infrastructura cu Cheie Publică (PKI) arhitectura, tehnicile, practicile și procedurile care contribuie în mod colectiv la implementarea și funcţionarea sistemelor criptografice cu chei publice, bazate pe certificate; PKI constă în hardware, software, baze de date, resurse de reţea, proceduri de securitate și obligaţii legale, legate împreună și care colaborează pentru a furniza și implementa atât serviciile de certificare, cât şi alte servicii asociate infrastructurii (de ex. marcă temporală). Certificat Calificat pentru Semnătura Electronică un certificat pentru semnăturile electronice care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în Anexa I a Regulamentului (UE) 910/2014; Certificat Calificat pentru Sigiliul Electronic certificat pentru un sigiliu electronic care este emis de un prestator de servicii de încredere calificat și care îndeplinește cerințele prevăzute în Anexa III a Regulamentului (UE) 910/2014; Dispozitiv de creare a semnăturilor electronice calificate - Înseamnă un dispozitiv de creare a semnăturii electronice care îndeplinește cerințele stabilite în anexa II la Regulamentul (UE) nr. 910/2014. Certificat calificat pentru autentificarea site-ului web - Înseamnă un certificat pentru autentificarea site-ului web, care este emis de un furnizor de servicii de încredere calificat și care îndeplinește cerințele stabilite în anexa IV; Regulament (EU) no. 910/ REGULAMENTUL (UE) NR. 910/2014 AL PARLAMENTULUI EUROPEAN ȘI AL CONSILIULUI din 23 July 2014 privind identificarea electronică și serviciile de încredere pentru tranzacțiile electronice pe piața internă și de abrogare a Directivei 1999/93/CE. Certificat revocat certificate cu cheie publica plasat pe Lista de Certificate Revocate. Solicitant Subiect aflat în perioada dintre depunerea unei cereri către o autoritate de certificare și finalizarea procedurii de emitere a certificatului. Entitate Partenera Destinatarul care a primit informații care conțin un certificat sau o semnătură electronică asociată, verificate cu o cheie publică inclusă în certificat, și care trebuie să decidă dacă acceptă sau respinge semnătura pe baza încrederii în certificat. Cheie secreta - Cheie aplicată în tehnicile de criptografie simetrică și utilizată doar de un grup de subiecți autorizați. Detinator de secret partajat Titularul autorizat al unui card electronic, folosit pentru păstrarea secretului partajat. Subiect - Persoana fizică, dispozitivul, sistemul, unitatea sau entitatea juridică identificată într-un certificat ca subiect. Subiectul este fie Beneficiarul, fie un dispozitiv aflat sub controlul Beneficiarului. Informatii de identificare a Subiectului - Informații care identifică subiectul certificatului. Informația privind identitatea Subiectilor nu include un nume de domeniu enumerat în extensia SubjectAltName sau în câmpul Subject commonname. Beneficiar Persoană fizică sau persoană juridică căreia i se eliberează un certificat și care este legat de un contract sau de Termeni de utilizare. Contract - Un acord între CA și solicitant / beneficiar care specifică drepturile și responsabilitățile părților. 22

23 Politica privind semnătura Soluții detaliate, inclusiv soluții tehnice și organizaționale, care definesc metodele, scopul și cerințele de confirmare și verificare a unei semnături electronice, a cărei execuție permite verificarea valabilității semnăturii. Secret partajat parte a unui secret criptografic, de exemplu O cheie distribuită între n indivizi de încredere (tokenuri criptogtafice, de exemplu carduri electronice, ) intr-o manieră, care necesită m părți ale secretului (unde m <n) pentru a restabili cheia distribuită. Stare a unei chei private Cheile private pot avea una din cele trei stări de bază (conform standardului ISO/IEC ): În curs de activare (ready) Cheia a fost deja generată, dar nu este accesibilă pentru utilizare; activa Cheia poate fi utilizată în operații criptografice (de exemplu, pentru crearea de semnături electronice) inactiva Cheia poate fi utilizată exclusiv pentru decriptare și perechea sa publică pentru verificarea semnăturii electronice. Token Element de date utilizat pentru schimbul între părți și care conține informații transformate prin tehnici criptografice. Tokenul este semnat de un operator al autorității de înregistrare și poate fi utilizat pentru autentificarea titularului său în relatia cu o autoritate de certificare. Parte terta de incredre (TTP) Instituție sau reprezentantul său de încredere, o entitate autentificată, o entitate care efectuează verificări și alte entități în domeniul operațiunilor asociate securității și autentificării. Validarea certificatelor de chei publice Verificarea statutului certificatului, care să permită validarea dacă certificatul este revocat sau nu. Această problemă poate fi soluționată de entitatea unică interesată pe baza CRL sau printr-o cerere adresată serverului OCSP. Certificat valid Certificatul de cheie publică este valid numai atunci când (1) acesta a fost emis de o autoritate de certificare, (2) a fost acceptat de subiect și (3) nu a fost revocat. CA CP CAA cctld CPP CRL DN DNS EV gtld IANA ICANN LRA OSCP OV PKI PPMB PRA PSE autoritate de certificare politica de certificare Autorizarea Autoritatii de Certificare Codul de tara de nivel superior Cod de Practici și Proceduri Lista de Certificate Revocate Nume distinctiv Numele distinctiv al sistemului Validare extinsa generic Top Level Domain Internet Assigned Numbers Authority Internet Corporation for Assigned Names and Numbers Autoritate de Inregistrare Locala protocol de verificare On-line a starii certificatului Organization Validation Infrastructura cu Chei Publice Comitet de Management al Politicilor și Procedurilor Autoritatea de Inregistrare Primara Mediul personal de securitate 23

24 QSCD QCP-w QCW RSA TLD TLS TSP TTP Dispozitiv de Creare a Semnăturilor Electronice Calificate Politica de certifiacre calificata pentru autentificarea Site-urilor Web Certificat Calificat pentru autentificarea Site-urilor Web algoritmul criptografic asimetric Rivest, Shamir, Adleman Top Level Domain Transporty Layer Security Furnizor de servicii de incredere Terta parte de incredere 24

25 2 Publicare și responsabilități Depozitar Depozitare Depozitarul este disponibil on-line: Acesta conține: Codul de Practici și Proceduri pentru CA-urile operate de certsign Certificatele Root CA și ale CA-urilor Subordonate Certificatele Subiecților Listele Certificatelor Revocate Temenii și condițiile privind utilizarea certificatelor digitale Șabloanele contractelor cu Subiecții și Beneficiarii. Depozitarul este gestionat și controlat de CERTSIGN; prin urmare, CERTSIGN se angajează: Să depună toate eforturile necesare pentru a se asigura că toate certificatele publicate în Depozitar aparțin Subiecților înscriși în certificate și că Subiecții și-au dat acordul asupra acestor certificate, Să se asigure că certificatele Autorităţilor de Certificare, Autorităţii de Înregistrare aparţinând domeniului certsign, precum și certificatele Subiecţilor sunt publicate și arhivate la timp, Să asigure publicarea şi arhivarea CPP, a listei aplicaţiilor recomandate şi a dispozitivelor recomandate, Să ofere acces la informaţiile despre starea certificatelor prin publicarea de Liste de Certificate Revocate (CRL), prin intermediul serverelor OCSP sau prin interogări HTTP, Să asigure accesul permanent la informaţiile din Depozitar pentru Autorităţile de Certificare, Autoritatea de Înregistrare, Subiecţi și Entităţile Partenere, Să publice CRL-uri sau alte informații în timp util și în concordanță cu termenele limită menționate în CPP, Să asigure accesul sigur și controlat la informațiile din Depozitar. Răspunderea pentru Depozitar și consecințele serviciului său aparțin certsign (vezi capitolul 9). Publicarea informațiilor de certificare La emiterea unui certificat digital, certificatul complet și corect este comunicat de CERTSIGN Subiectului pentru care a fost emis certificatul. Certificatele vor fi disponibile pentru recuperare doar în cazurile pentru care a fost obținut acordul Subiectului, așa cum este descris în documentul Termeni și Condiții. Pentru toate certificatele emise, informațiile privind starea certificatului sunt disponibile prin CRL-uri și serviciile de validare a certificatelor furnizate de certsign 24*7*365. CERTSIGN este conform cu versiunea actuală a cerințelor de bază pentru emiterea și gestionarea certificatelor de încredere publice, publicată la În cazul unei eventuale neconcordanțe între acest document și aceste cerințe, aceste cerințe au prioritate față de acest document. CERTSIGN găzduiește 3 pagini web care permit furnizorilor de aplicații software să isi testeze software-ul cu certificate de beneficiar emise de certsign Web CA: - certificate valid - certificate revocat - certificate expirat 25

26 CERTSIGN pune la dispoziția părților implicate termenii și condițiile privind utilizarea certificatelor EV SSL. Timpul sau frecvența publicării Informațiile publicate de certsign sunt actualizate cu următoarea frecvență: CPP vezi Capitolul 1.5, Certificatele Autorităților de Certificare după emiterea unui nou certificat; Certificatele Subiecților la obținerea consimțământului, după fiecare emitere a unui nou certificat; Lista certificatelor revocate este creată fie o dată la 24 de ore, fie atunci când un certificat este revocat; Rapoartele auditurilor realizate de instituții autorizate când le primește CERTSIGN; Informațiile suplimentare după fiecare actualizare. Controlul accesului la Depozitare Toate informațiile publicate de certsign în Depozitar la adresa Depozitarul este disponibil public și internațional, 24*7*365. certsign a implementat mecanisme logice și fizice de protecţie împotriva adăugării, ştergerii și modificării neautorizate a informaţiilor publicate în Depozitar. La descoperirea unor breşe ce afectează integritatea informaţiilor din Depozitar, certsign va lua măsurile corespunzătoare pentru a restabili integritatea informaţiilor, va trage la răspundere pe cei vinovaţi și va notifica imediat entităţile afectate. 26

27 3 Identificarea și autentificarea Capitolul descrie regulile generale pentru identificarea beneficiarului, reguli ce se aplică la emiterea unui certificat QCW de către CERTSIGN. Verificarea este efectuată obligatoriu în etapa înregistrării și modificării beneficiarului, precum și la cererea CERTSIGN în cazul oricărui alt serviciu de certificare. Nume Numele Subiectului inclus intr-un QCW este în conformitate cu numele distinctiv X.500 (DN). certsign Web CA utilizeaza o singură convenție de nume așa cum este stabilită în Ghidul EV și cerințele de bază publicate de Forumul CA / Browser. Certificatele emise în baza acestui CPP sunt semnificative numai dacă numele care apar în certificate pot fi înțelese și utilizate de către entitatile partenere. Numele utilizate în certificate trebuie să identifice site-ul web la care sunt atribuite într-un mod semnificativ. Valoarea CN care trebuie utilizată într-un QCW trebuie să fie numele complet al solcititantului. Atributul DN este unic pentru Subiectul catre care este emis. Pentru fiecare QCW, se emite un număr de serie unic în spațiul de nume al certsign Web CA Tipuri de nume Certificatele emise de CERTSIGN sunt conforme cu standardul X.509 v3. Aceasta înseamnă că emitentul certificatului și Autoritatea de Înregistrare care acționează în numele emitentului aprobă numele Subiectului în conformitate cu prevederile standardului X.509 (cu referire la recomandările seriei X.500). Numele de bază ale Subiecților și ale emitenților de certificate plasate în certificatele CERTSIGN sunt conforme cu Numele Distinctive DN (cunoscute și ca nume directoare), create utilizând recomandările X.500 și X.520. În cadrul DN, se pot defini atribute ale Domain Name Service (DNS). Aceasta permite Subiecților să utilizeze două tipuri de nume simultan: DN și DNS. Aceasta este o opțiune foarte importantă în cazul emiterii de certificate pentru servere administrate de Subiect. Pentru a asigura o comunicare electronică ușoară cu Subiectul, în certificatele CERTSIGN este utilizat un nume adițional pentru Subiect. Acest nume poate conține, de asemenea, adresa de a Subiectului, conform recomandărilor RFC Nevoia ca Numele să fie Semnificativ Certificatele SSL, cu excepția certificatelor de tip "wildcard" și "Type Unified Communications", sunt emise cu un nume de domeniu complet calificat (FQDN) sau cu o adresă IP. Certificatele SSL conțin un asterisc. Înainte de a emite un astfel de certificat, trebuie să se stabilească dacă asteriscul apare pe prima poziție, la stânga sufixului unui domeniu controlat de organizația de înregistrare domeniu (ex. *.com.ro) sau al sufixului public *.ro, *.edu, "*.com", "*.co.uk"; pentru detalii, consultați secțiunea 8.2 din RFC 6454) și dacă se întâmplă acest lucru, CA-ul controlat de CERTSIGN va refuza cererea, deoarece domeniu trebuie să fie deținut sau controlat de beneficiar. Pentru certificatele SSL, în timp ce FQDN sau un nume de domeniu autentificat este plasat în atributul Common Name (CN) al câmpului Subject, acesta poate fi copiat și în extensia Subject 27

28 Alternative Name, în numele DNS. Numele alternative al subiectului sunt marcate ca necritice, în conformitate cu RFC5280. Certificatele SSL pot include adrese IP publice, în conformitate cu RFC 2460 (versiunea IP 6) sau RFC791 (versiunea IP 4). Tipurile de certificate SSL pentru comunicații unificate (domenii multiple) pot include domenii non-routabile (adică.local) sau IP private (în conformitate cu RFC 1918) în cadrul extensiei Subject Alternative Name. Emiterea certificatelor SSL pentru domenii nonroutable, adrese IP private sau adrese IP rezervate (în conformitate cu și este considerata învechita. În prezent, nu există certificate emise conform acestor specificații a căror dată de expirare este după 1 noiembrie Numele inclus în DN-ul Subiectului este semnificativ în limba română, precum și în orice altă limbă folosind alfabetul latin. Structura DN, aprobată / desemnată și verificată de o Autoritate de Înregistrare, depinde de tipul Subiectului. Pentru persoanele fizice, DN constă din următoarele câmpuri, obligatorii sau nu (descrierea câmpului este urmată de abrevierea sa care respectă recomandările RFC 5280 și X.520): Campul C abrevierea internațională pentru numele țării (RO pentru România), Campul S Județul / sectorul de reședință al Subiectului, Campul L Localitatea de reședință a Subiectului, Streada Adresa, Campul CN Numele Subiectului; numele unui produs sau echipament care poate fi mentionat aici, Campul O numele Beneficiarului, atunci când Beneficiarul este angajatorul Subiectului sau există un contractl încheiat între ei, Campul OU numele departamentului organizației în care Subiectul este angajat, Campul T functia Campul SN Numele de familie al Subiectului, Campul G Prenumele Subiectului, Campul P Pseudonimul Subiectului utilizat în acest mediu sau utilizat cand Subiectul nu doreste sa isi divulge numele sau prenumele real, Campul Telefon nnumarul de telefon, Campul Serial Number codul de identificare personala al Subiectului legat de legea Semnaturii Electronice. Pentru persoanele juridice, DN este compus din urmatoarele campuri (descrierea campului este urmata de abrevierea ce este conforma cu recomandarile X.520): Campul C abrevierea internațională pentru numele țării (RO pentru România), Campul O numele institutiei, Campul OU numele departamentului institutiei, Campul S Județul / sectorul unde organizatia functioneaza, Campul L orasul de rezidenta al Subiectului, Campul CN numele institutiei, Campul Phone numarul de telefon, 28