Politica de Certificare

certSIGN

Versiunea 1.3
Data: 3 Iulie, 2015

Copyright certSIGN. Toate drepturile rezervate

Istoria documentului
Versiune

Data

Motiv

Aprilie 2006

Publicarea primei versiuni

1.1

Iulie 2009

Schimbarea sediului firmei in Sos. Oltenitei 107A,

Sector 4, Bucuresti.

Manager Servicii Electronice

1.2

Martie 2014

Adaugarea noului CA Class 3 Enterprise G2

Director Tehnic

Adaugarea noilor autoritati de certificare

Director Tehnic

1.0

1.3

Iulie 2015

Persoana care a facut

modificarea

Manager Servicii Electronice

certSIGN CA Class 2 G2
certSIGN Qualified CA Class 3 G2
certSIGN Non-Repudiation CA Class 4 G2

Acest document a fost creat si este proprietatea:

Proprietar

Manager Servicii Electronice

Autor

Data crearii

Manager Servicii Electronice

27 Ianuarie 2006

Lista de Distributie
Destinatar

Data distribuirii

Public-Internet

3 Iulie Martie 2015

Acest document a fost aprobat de

Versiune

Nume

Data

1.1

Comitet de Management al Politicilor si Procedurilor pentru

Serviciile de Incredere

Iulie 2009

1.0

1.2
1.3

Comitet de Management al Politicilor si Procedurilor pentru

Serviciile de Incredere

Comitet de Management al Politicilor si Procedurilor pentru

Serviciile de Incredere
Comitet de Management al Politicilor si Procedurilor pentru
Serviciile de Incredere

Aprilie 2006

Martie 2014
Iunie 2015

Cuprins
1.
2.

Introducere ............................................................................................................................... 5
Certificatele .............................................................................................................................. 5
2.1. Certificate de Clas 1 ............................................................................................................ 7
2.2. Certificate de Clas 2 ............................................................................................................ 7
2.3. Certificate de Clas 3 ............................................................................................................ 8
2.4. Certificate de Clas 4 ............................................................................................................ 9
3. Jetoane de ne-repudiere.......................................................................................................... 10
3.1. Mrcile Temporale .............................................................................................................. 10
3.2. Rspunsul de confirmare OCSP .......................................................................................... 11
4. Garaniile oferite de certSIGN ............................................................................................... 11
5. Acceptarea certificatului ........................................................................................................ 12
6. Serviciul de certificare ........................................................................................................... 12
7. Entitatea Partener ................................................................................................................... 13
8. Abonatul ................................................................................................................................. 13
9. Actualizarea politicii de certificare ........................................................................................ 14
10. Taxe........................................................................................................................................ 14

1.

Introducere

Politica de Certificare a certSIGN (CP) descrie regulile i principiile generale aplicate de

certSIGN n procesul de certificare a cheilor publice i folosire a autoritii de marcare a timpului
(TSA), precum i a altor servicii de ne-repudiere. Politica de certificare definete:

entitile implicate n procesele de certificare,

responsabilitile i obligaiile fiecrei entiti,

tipurile de certificate,

tipurile de confirmri,

procedurile de verificare a identitii i

aria de aplicabilitate.

Descrierea detaliata a regulilor de mai sus este prezentata n Codul de Practici i Proceduri
(CPP).
Cunoaterea Politicii de Certificare, precum i al Codului de Practici i Proceduri prezint
importan n mod special pentru abonaii i entitile partener ale certSIGN.

2.

Certificatele

Certificatul este un ir de date (mesaj) care conine cel puin numele i identificatorul autoritii,
identificatorul abonatului, cheia sa public, perioada de validitate, numrul serial i semnatura
autoritii emitente.
Certificatele sunt utilizate pentru a lega datele personale ale abonatului de cheile publice specifice.
Proprietarul certificatului este, de asemenea, i proprietarul cheii private, corespunztoare cheii
publice coninut n certificat. Datele de identificare coninute n certificat permit altor pri s
determine cu exactitate proprietarul certificatului. Dac cheia privat este utilizat n timpul
semnarii electronice a unui mesaj, destinatarul mesajului poate fi sigur c mesajul a fost creat
folosind cheia privat, corespunztoare cheii publice coninut n certificat (deci a fost creat de
proprietarul certificatului) i mesajul nu a fost modificat de ctre altcineva.
Autoritatea de Certificare certSIGN CA confirm prin emiterea unui certificat pentru un abonat:

Identitatea acestuia sau credibilitatea altor date, ca de exemplu adresa csuei de pot
electronic;

Cheia public coninut de certificat aparine abonatului respectiv.

Datorit celor de mai sus, entitile partener, dup recepia unui mesaj semnat, pot determina cine
este proprietarul certificatului care a semnat mesajul i, opional, l pot trage pe acesta la rspundere
pentru aciunile sale sau angajamentele luate.
certSIGN furnizeaz servicii n concordan cu legislaia i practicile n domeniu. Cheile autoritii
de certificare sunt protejate folosind module hardware de securitate (Hardware Security Module HSM), certificate conform FIPS 140-1 nivel 3. certSIGN implementeaz controalele fizice i
procedurale ale sistemului.
Autoritatea de Certificare certSIGN emite certificate de diferite Clase, avnd nivele de credibilitate
diferite. Credibilitatea certificatului depinde de procedura de verificare a identitii abonatului i de
efortul depus de operatorii certSIGN pentru a verifica datele trimise de ctre solicitant n cererea sa
de nregistrare. Clasa certificatului poate, de asemenea, s depind de Clasa de securitate a
serverului sau dispozitivului de reea pentru care se emite certificatul. Specialitii certSIGN pot
verifica starea tehnic i Clasa de securitate a sistemului informatic al unui abonat nainte de a
emite un certificat din cea mai nalt Clas de credibilitate.
Autoritatea de Certificare certSIGN CA emite certificate pentru publicul larg i furnizeaz servicii
specifice unei infrastructuri de chei publice. Printre cele mai importante aplicaii ale certificatelor
emise de certSIGN CA, se numr (fr a se limita la):

Semnarea documentelor electronice,

Securizarea mesajelor de e-mail (pot electronic),

Securizarea tranzaciilor Web,

Securizarea comunicaiilor de reea,

Semnarea codului pentru aplicaii,

Marcarea timpului.

2.1. Certificate de Clas 1

Certificatele de Clas 1 sunt emise de Autoritatea de Certificare certSIGN Demo CA Class 1.
Aceste certificate sunt folosite numai pentru scopuri demonstrative i nu ofer nici o garanie asupra
identitii subiectului. Certificatele demo sunt destinate n principal pentru testarea performanei
aplicaiilor sau dispozitivelor nainte de cumprarea certificatelor finale. Autoritatea de Certificare
certSIGN Demo CA Class 1 emite certificate pentru aproape toate scopurile. n majoritatea
cazurilor, n timpul procesului de nregistrare se verific adresa csuei de mesagerie electronic
i/sau numele i prenumele persoanei fizice sau al reprezentantului persoanei juridice.
Certificatele de Clasa 1 conin urmtorul identificator de politic:
{certSIGN} id-policy(1) id-cp(1)id-Class-1(1)
certSIGN nu i asum nici o obligaie financiar i nu ofer nici o garanie pentru certificatele (i
coninutul acestora) emise n cadrul politicii de mai sus.

2.2. Certificate de Clas 2

Certificatele de Clas 2 sunt emise de Autoritatile de Certificare certSIGN CA Class 2 si
certSIGN CA Class 2 G2. Acestea sunt certificate personale i sunt destinate n principal pentru
securizarea corespondenei electronice sau autentificarea clienilor n timpul sesiunilor online.
Operatorii Autoritilor de Certificare certSIGN CA Class 2 si certSIGN CA Class 2 G2 verific
datele furnizate de clieni n timpul procesului de certificare. Identitatea persoanei fizice solicitante
sau a reprezentantului persoanei juridice este supus unei verificri detaliate. Autenticitatea adresei
csuei de mesagerie electronic inclus n certificat este de asemenea verificat.
Certificatele de Clasa 2 conin urmtorul identificator de politic:
{certSIGN} .id-policy(1). id-cp(1).id-Class-2(2)
Certificatele emise n cadrul acestei politici ofer garanii i responsabiliti limitate.

{certSIGN}=1.3.6.1.4.1.25017= iso(1). identified-organization(3). dod(6). internet(1). private(4). enterprise(1).

certSIGNs IANNA assigned number (20715)

2.3. Certificate de Clas 3

Certificatele de Clas 3 sunt emise de catre 3 Autoritati de Certificare: certSIGN Qualified CA
Class 3, certSIGN Qualified CA Class 3 G2, certSIGN Enterprise CA Class 3 i certSIGN
Enterprise CA Class 3 G2 . Certificatele emise n aceast clas pot fi certificate calificate sau
certificate pentru securizarea obiectelor binare i protecia transmisiilor de date utiliznd
protocoalele IPSec, SSL i TLS. Operatorii certSIGN verific datele furnizate de clieni (organizaii
sau instituii) n timpul procesului de nregistrare. Toate datele ce urmeaz a fi incluse n certificat
sunt verificate.
Pe baza unui certificat emis de certSIGN Qualified CA Class 3, certSIGN Qualified CA Class 3 G2,
certSIGN Enterprise CA Class 3 sau certSIGN Enterprise CA Class 3 G2 se poate determina cu
exactitate identitatea unui subiect sau autenticitatea unei organizaii.
Certificatele calificate emise de certSIGN Qualified CA Class 3 si certSIGN Qualified CA Class 3
G2 pot fi utilizate pentru crearea de semnaturi electronice care s nlocuiasc semnaturile olografe.
Certificatele calificate sunt emise de Autoritatile de Certificare certSIGN Qualified CA Class 3 si
certSIGN Qualified CA Class 3 G2. Aceste certificate sunt conforme cu Directiva 1999/93/EC a
Parlamentului European referitoare la Cadrul Comunitar privind Semnatura Electronica, Legea
Semnaturii Electronice 455/2001 din Romnia i Hotrrea de Guvern 1259/Decembrie 2001
privind Normele de Aplicare ale Legii Semnaturii Electronice.
Autoritatile de certificare certSIGN Qualified CA Class 3 si certSIGN Enterprise CA Class 3
folosesc un certificat emis cu algoritmul sha1WithRSAEncryption (OID: 1.2.840.113549.1.1.5) iar
certSIGN Qualified CA Class 3 G2 si certSIGN Enterprise CA Class 3 G2 folosesc un certificat
emis cu algoritmul sha256WithRSAEncryption (OID: 1.2.840.113549.1.1.11).
Certificatele de Clasa 3 conin urmtorul identificator de politic:
{certSIGN} id-policy(1) id-cp(1)id-Class-3(3)
n plus, pentru certificatele calificate se adaug urmtorul identificator de politic:
itu-t(0).identified-organization(4).etsi(0).qualified-certificate-policies(1456).policyidentifiers(1). qcp-public-with-sscd (1)

Responsabilitatea financiar a certSIGN pentru datele din certificatele emise n cadrul politicii de
mai

sus

este

prezentat

Codul

de

Practici

Proceduri

(CPP)

(a

se

vedea

http://www.certSIGN.ro/repository). Certificatele emise n cadrul acestei politici ofer garanii i

responsabiliti complete.

2.4. Certificate de Clas 4

Certificatele de Clas 4 sunt emise de Autoritatile de Certificare certSIGN Non-Repudiation CA
Class 4 si certSIGN Non-Repudiation CA Class 4 G2. Aceste certificate sunt destinate n
principal Autoritilor de Certificare subordonate sau altor furnizori de servicii de ncredere (OCSP
sau Autoriti de Marcare Temporal). Operatorii certSIGN Non-Repudiation CA Class 4 si
certSIGN Non-Repudiation CA Class 4 G2 verific identitatea clienilor care trebuie s se prezinte
personal la unul din ghieele certSIGN. Se vor verifica mputernicirea din partea firmei,
autenticitatea i corectitudinea documentelor de identitate furnizate precum i actele organizaiei.
certSIGN Non-Repudiation CA Class 4 si certSIGN Non-Repudiation CA Class 4 G2 accept i
documente autentificate de ctre un notar. Pe baza unui certificat emis de certSIGN NonRepudiation CA Class 4 sau certSIGN Non-Repudiation CA Class 4 G2 se poate determina cu
exactitate identitatea unui subiect, autenticitatea unei organizaii sau credibilitatea unei Autoriti de
Certificare externe. Perioada de valabilitate a unui certificat de Clas 4 este de minim 2 ani. Cheile
abonatului ce deine un certificat de Clas 4 trebuie protejate utiliznd module hardware de
securitate (HSM).
Certificatele de Clas 4 conin urmtorul identificator de politic:
{certSIGN} id-policy(1) id-cp(1)id-Class-4(4)

Certificatele emise n cadrul acestei politici ofer garanii i responsabiliti complete.

Abonatul certSIGN poate alege tipul de certificat potrivit nevoilor sale. Tipurile de certificate sunt
descrise pe larg n Codul de Practici i Proceduri (CPP) care poate fi consultat pe site-ul Web al
certSIGN. De asemenea, aceste informaii pot fi primite i prin pot electronica trimind un mesaj
la adresa: office@certSIGN.ro.

3.

Jetoane de ne-repudiere

Jetoanele de ne-repudiere sunt structuri de date (mesaje) coninnd cel puin:

informaiile furnizate de ctre client (de exemplu, valoare hash, numrul serial al
certificatului, numrul cererii etc.) unei autoriti de ne-repudiere i

semnatura electronica a autoritii respective.

Autoritile de ne-repudiere care ofer servicii clienilor sunt afiliate la certSIGN.

Prin emiterea unui jeton, o autoritate de ne-repudiere confirm apariia unui eveniment n momentul
crerii acestuia sau la un moment de timp anterior. Acest eveniment poate fi: transmiterea unui
document, data crerii semnaturii etc. Entitatea partener poate verifica, pe baza datelor
recepionate, corectitudinea semnaturii bazndu-se pe ncrederea n certSIGN CA.

3.1. Mrcile Temporale

Mrcile temporale sunt emise de Autoritatea certSIGN Time-Stamping Authority. Mrcile
temporale, ca element de baz n asigurarea ne-repudierii, sunt emise att persoanelor private ct i
celor aparinnd unei organizaii. Mrcile temporale pot fi ncorporate n:

semnaturi electronice,

acceptarea tranzaciilor electronice,

arhivarea datelor,

notarizarea documentelor electronice etc.

Regulile ce stabilesc modul de operare al Autoritii de Marcare Temporal precum i alte

informaii suplimentare legate de acest sistem sunt descrise ntr-un document separat (a se vedea
Politica certSIGN Time-Stamping Authority).
Jetonul de marcare temporal conine urmtorul identificator de politic:

10

{certSIGN} *.id-Time-Stamping(2).Id-Policy(1)
Responsabilitatea financiar a certSIGN pentru timpul, data i alte informaii suplimentare incluse
n mrcile temporale emise n cadrul politicii de mai sus este prezentat n Politica certSIGN TimeStamping Authority (a se vedea http://www.certSIGN.ro/repository). certSIGN Time-Stamping
Authority ofer garanii pentru mrcile temporale emise n limitele specificate n Politica certSIGN
Time-Stamping Authority.

3.2. Rspunsul de confirmare OCSP

Rspunsurile OCSP (Online Certificate Status Protocol) sunt emise de Autoritatea certSIGN
Validation Service. Rspunsurile OCSP sunt utilizate n principal pentru determinarea strii
certificatelor. Aceste servicii sunt disponibile public i reprezint o alternativ la Listele de
Certificate Revocate (Certificate Revocation List CRL). certSIGN Validation Service ofer
garanii pentru rspunsurile OCSP emise, n limitele descrise n CPP. Modul de funcionare al
autoritii OCSP i informaii suplimentare privind acest serviciu sunt prezentate pe pagina web (a
se vedea http://www.certSIGN.ro) i n CPP.

4.

Garaniile oferite de certSIGN

n funcie de tipul de certificat emis, certSIGN garanteaz c va depune efortul necesar pentru a
verifica n mod corespunztor informaiile incluse n cadrul certificatelor (a se vedea Codul de
Practici i Proceduri - Capitolul 2.1: Obligaii). Verificarea informaiilor este important n primul
rnd pentru entitile partenere ce primesc mesaje de la un abonat care se identific printr-un
certificat digital calificat emis de certSIGN. n consecin, certSIGN este responsabil din punct de
vedere financiar pentru pagubele rezultate ca urmare a neglijenei sau erorilor comise de certSIGN
n ceea ce privete aceste tipuri de certificate. Responsabilitile certSIGN depind de clasa
certificatului abonatului, iar responsabilitatea este att fa de abonat ct i fa de entitile
partenere care au ncredere n informaiile din certificat (a se vedea Codul de Practici i Proceduri
Capitolul 2.2 Responsabiliti Juridice i 2.3 Responsabiliti de natur financiar).

{certSIGN}=1.3.6.1.4.1.25017= iso(1). identified-organization(3). dod(6). internet(1).

private(4). enterprise(1). certSIGNs IANNA assigned number (25017)
*

11

Garaniile certSIGN pot fi limitate de anumite restricii. Aceste restricii sunt aduse la cunotin
abonatului care confirm acest lucru n cadrul unei declaraii (a se vedea declaraia de Acceptare a
Certificatului). certSIGN garanteaz unicitatea semnaturilor electronice pentru abonaii si.

5.

Acceptarea certificatului

Responsabilitile i garaniile certSIGN se aplic din momentul acceptrii certificatului de ctre

abonat. Modalitatea de furnizare a certificatului i acceptana certificatului sunt descrise n Codul de
Practici i Proceduri (a se vedea capitolul 4.4 Acceptarea Certificatului) i sunt detaliate n
acordurile ncheiate cu abonaii.

6.

Serviciul de certificare

certSIGN furnizeaz patru servicii de baz:

(1) nregistrarea,
(2) emiterea unui certificat digital,
(3) rennoirea unui certificat,
(4) revocarea unui certificat i
(5) verificarea strii unui certificat.
n plus, certSIGN ofer i urmtoarele servicii de ne-repudiere:
(6) Autoritate de Marcare Temporal,
(7) Serviciu de validare on-line a strii certificatelor digitale.
nregistrarea are ca scop verificarea identitii unui abonat i preced operaiunea de emitere a
certificatului (a se vedea Codul de Practici i Proceduri, capitolul 4.1 Trimiterea cererii i Capitolul
4.3 Emiterea certificatului digital).
Rennoirea unui certificat are loc atunci cnd un abonat nregistrat deja dorete s obin un
certificat pentru o aceeai cheie public cu modificarea perioadei de valabilitate (a se vedea Codul
de Practici i Proceduri, Capitolul 4.7 Certificarea cheii i schimbarea cheii certificatului).

12

Revocarea unui certificat are loc atunci cnd cheia privat corespunztoare cheii publice din
certificatul digital a fost compromis sau este susceptibil c ar putea fi compromis (a se vedea
Codul de Practici i Proceduri, Capitolul 4.9 Revocarea i suspendarea certificatelor).
Verificarea strii unui certificat este un serviciu prin care certSIGN confirm validitatea unui
certificat digital, folosind Listele de Certificate Revocate (CRL) emise de autoritile afiliate.
Verificarea strii unui certificat se poate realiza i prin intermediul serviciului de validare on-line a
strii certificatelor (a se vedea Codul de Practici i Proceduri, Capitolul 4.9.7 Verificarea on-line a
strii certificatelor).
certSIGN permite ca fiecare pereche de chei (privat-public) s fie generat de ctre abonat.
certSIGN poate face recomandri cu privire la dispozitivele pentru generarea cheilor. n anumite
condiii specifice, certSIGN poate genera perechi de chei unice i livra aceste chei abonailor.

7.

Entitatea Partener

Entitatea partener este obligat s verifice n mod corespunztor fiecare semnatur electronic de pe
documentele recepionate (inclusiv certificatul digital). Pe timpul procesului de verificare, entitatea
partener trebuie s utilizeze procedurile i resursele puse la dispoziie de certSIGN. Acestea
specific, printre altele, faptul c trebuie verificat lista de certificate revocate publicat de
certSIGN i cile de certificare permise (a se vedea Codul de Practici i Proceduri, Capitolul 2.1.4
Obligaiile entitilor partener).
Fiecare document pentru care exist probleme la verificarea semnaturii digitale trebuie s fie
respins i trebuie s fie verificat prin alte modaliti sau proceduri, de exemplu verificarea
documentului la un notar.

8.

Abonatul

Abonatul este obligat s pstreze n siguran cheia sa privat, pentru a preveni accesul neautorizat
la aceasta al unei tere pri. n cazul n care exist bnuiala c a fost accesat de o ter parte,
abonatul este obligat s anune imediat autoritatea care a emis certificatul sau digital. Informaiile
furnizate autoritii trebuie s fie suficiente pentru a determina cu exactitate identitatea persoanei
creia i se va revoca certificatul digital.

13

9.

Actualizarea politicii de certificare

Politica de certificare a certSIGN se poate modifica periodic. Aceste modificri vor fi disponibile
tuturor abonailor prin intermediul site-lui Web al certSIGN. Abonaii care nu accept modificrile
aduse politicii de certificare trebuie s trimit ctre certSIGN o declaraie n acest sens i s renune
la serviciile oferite de certSIGN.

10. Taxe
Serviciile de certificare furnizate de certSIGN sunt disponibile comercial. Tarifele pentru aceste
servicii depind de clasa certificatelor emise sau deinute de un abonat i de tipul de serviciu cerut.
Tarifele

sunt

prezentate

listele

de

preuri,

disponibile

pe

site-ul

certSIGN

(http://www.certSIGN.ro).

14