Приложение N 4. Правила пользования единым универсальным сертификатом. Письмо Федерального казначейства и Министерства экономического развития РФ от 25.05.2010 N 42-7.4-05/10.1-327, 8384-АП/Д22 О рассмотрении проекта Порядка регистрации пользователей и пользования официальным сайтом РФ в сети "Интернет" для размещения информации о размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд

Приложение N 4
к письму Федерального казначейства и
Министерства экономического развития РФ
от 25 мая 2010 г. N 42-7.4-05/10.1-327, 8384-АП/Д22

Оператор	Телефон	e-mail
Сбербанк - Автоматизированная система торгов	+7 495 787 29 97 и +7 495 787 29 99	info@sberbank-ast.ru
Единая электронная торговая площадка	8-800-200-18-77	support@roseltorg.ru
Агентство по государственному заказу Республики Татарстан	+7(843) 264-72-61	info@mail.zakazrf.ru

Уполномоченный удостоверяющий центр Федерального казначейства

Правила пользования единым универсальным сертификатом

Термины и определения

Владелец сертификата ключа подписи	-	Физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы).
Закрытый ключ электронной цифровой подписи	-	Уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Оператор Удостоверяющего центра	-	Физическое лицо, являющееся сотрудником удостоверяющего центра и наделенное полномочиями по заверению от имени удостоверяющего центра сертификатов открытых ключей.
Открытый ключ электронной цифровой подписи	-	Уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
Отозванный сертификат ключа подписи	-	Аннулированный сертификат ключа подписи до истечения срока действия или сертификат ключа подписи, действие которого приостановлено.
Пользователь удостоверяющего центра	-	Физическое лицо, использующее сертифицированный в удостоверяющем центре ключ для подписи электронных документов или сертификаты ключей подписей для проверки подписанных электронных документов.
Сертификат ключа подписи	-	Документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
СОС (Список отозванных сертификатов)	-	Электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя список серийных номеров сертификатов, которые на определенный момент времени были отозваны.
УЦ (Удостоверяющий центр)	-	Комплекс технических средств и организационно-технических мероприятий, предназначенный для обеспечения выполнения целевых функций УЦ, определенных в Статье 9 Федерального закона от 10.01.2002 г. N1-ФЗ "Об электронной цифровой подписи".
ЭЦП (Электронная цифровая подпись)	-	Реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе

1 Общие сведения

Формат единого универсального сертификата разрабатывается с целью формализации атрибутов сертификата и порядка обработки сертификата в рамках автоматизированных систем Федерального казначейства.

2 Правила заполнения полей ЕУС

Перечень основных полей приведен в Таб. 1.

Таб. 1 Перечень основных полей

N п\п	Поле	Описание
Основная информация
1	Version	Версия формата сертификата Х.509. Устанавливается УЦ при издании сертификата равным 2 (версия 3).
2	Serial Number	Серийный номер сертификата ключа подписи. Устанавливается УЦ при издании сертификата. Комбинация поля Issuer и Serial Number является уникальным идентификатором сертификата ключа подписи.
3	Signature	Идентификатор алгоритма электронной цифровой подписи в соответствии с которым была осуществлена подпись настоящего сертификата уполномоченным лицом УЦ.
4	Issuer	Уникальное имя (Distinguished name, далее - DN) выпускающего УЦ. Устанавливается УЦ при издании сертификата.
5	Validity	Срок действия сертификата ключа подписи*. Включает дату и время начала срока действия и дату и время окончания срока действия (время указывается в часовом поясе GMT+0).
6	Subject	DN владельца сертификата. Перечень используемых относительных уникальных имен (relative distinguished name, далее - RDN) приведен в Таб. 2.
7	Subject Public Key Info	Алгоритм и значение открытого ключа. Устанавливается УЦ при издании сертификата.
8	Unique Identifiers	Не должен использоваться
9	Extensions	Расширения (детальное описание представлено в Таб. 3)
Электронная цифровая подпись уполномоченного лица УЦ
10	signatureAlgorithm	алгоритм ЭЦП
11	signatureValue	значение ЭЦП

______________________________

* Для КриптоПро CSP установлены следующие максимальные сроки действия ключей:

- максимальный срок действия закрытых ключей шифрования и ЭЦП - 1 год 3 месяца;

- максимальный срок действия открытых ключей шифрования - 1 год 3 месяца;

- максимальный срок действия открытых ключей ЭЦП (уровень защиты КС1) - 30 лет, (уровень защиты КС2) - 25 лет, (уровень защиты КСЗ) - 15 лет.

Таб. 2 Перечень используемых относительных уникальных имен

Поле	Описание поля	Рекомендованная кодировка	Рекомендованная максимальная длина значения поля
SurName	Фамилия владельца сертификата с большой буквы в одно слово без пробелов.	UTF8String	в соответствие с RFC5280 40 символов в соответствие с Х.520 - 64 символа
GivenName	Имя и отчество владельца сертификата в формате "Имя Отчество" в два слова разделенных одним пробелом.	UTF8String	в соответствие с RFC5280 - 16 символов
Initials	Инициалы владельца сертификата без пробелов.	UTF8String	в соответствие с RFC5280 - 5 символов
Title	Должность владельца сертификата.	UTF8String.	в соответствие с RFC5280 - 64 символа.
UnstructuredName	Наименование в свободной форме. Указывается код из справочника должностей (ведётся в ЦАФК).	PrintableString или UTF8String.	в соответствие с PKCS#9 - 255 символов
StreetAddress	Улица и номер дома места работы владельца сертификата.	UTF8String.	в соответствие с Х.520 - 128 символов.
UnstructuredAddress	Адрес места работы владельца сертификата в свободной форме.	UTF8String.	в соответствие с PKCS#9 - 255 символов
CommonName	Фамилия, имя, отчество владельца сертификата в виде "Фамилия И.О." или наименование службы/сервиса/АРМ/сервера для которого издан сертификат.	UTF8String.	в соответствие с RFC5280 - 64 символа.
Organizational Unit	Организационное подразделение владельца сертификата. Допускается многократное включение данного RDN для создание иерархии подразделений, при этом следует учитывать, что подразделение более высокой иерархии должно идти перед подразделением более низкой иерархии.	UTF8String.	в соответствие с RFC5280 - 64 символа.
Organization	Наименование организации владельца сертификата.	UTF8String	в соответствие с RFC5280 - 64 символа.
Locality	Наименование населенного пункта (город, село).	UTF8String.	в соответствие с RFC5280 - 128 символов.
State	Наименование региона. Перечень допустимых значение представлен в приложении "3".	UTF8String.	в соответствие с RFC5280 - 128 символов.
Country	Двухбуквенный код страны в соответствие с ISO 3166. Для России указывается RU.	PrintableString.	в соответствие с RFC5280 - 2 символа.
EMail	Адрес электронной почты владельца сертификата.	IA5String (или UTF8String при использовании кириллических доменов).	в соответствие с PKCS#9 - 255 символов.

Таб. 3. Описание Extensions

Наименование поля	Описание поля
Authority Key Identifier	Идентификатор открытого ключа выпускающего УЦ в форме keyldentifier. Не допускается указывать authorityCertlssuer, authorityCertSerialNumber.
Subject Key Identifier	Идентификатор открытого ключа сертификата. Устанавливается УЦ при издании сертификата.
Key Usage	Назначение использования ключей. Устанавливается в виде битовой маски. Перечень допустимых значение представлен в Таб. 4.
	Для обеспечения корректного использования сертификата в системе Oracle (АСФК) должны быть установлены следующие значения:
	- digitalSignature;
	- nonRepudiation;
	- dataEncipherment.
	Для обеспечения корректного использования сертификата в системе СПТО должны быть установлены следующие значения:
	- digitalSignature;
	- nonRepudiation;
	- dataEncipherment.
	Для обеспечения корректного использования сертификата в системе СЭД должны быть установлены следующие значения:
	- digitalSignature;
	- nonRepudiation;
	- dataEncipherment.
	Для обеспечения корректного использования сертификата в системе Landocs должны быть установлены следующие значения:
	- digitalSignature;
	- nonRepudiation;
	- dataEncipherment;
	- keyEncipherment.
	Для обеспечения корректного использования сертификата в системе ООС должны быть установлены следующие значения:
	- digitalSignature;
	- nonRepudiation;
	- keyAgreement;
	- keyEncipherment.
	Для разрабатываемых систем рекомендуется использовать значения в соответствие с RFC 4491 для сертификатов ключей подписи ГОСТ Р 34.10-2001.
Certificate Policies	Область использования сертификата ключа подписи. Устанавливается в виде списка идентификаторов. Перечень допустимых значений для использования в различных системах приведен в 1. Для обеспечения корректного использования сертификата в системе Oracle (АСФК) должны быть установлены следующие значения:
	- id-cp-CA-KC2;
	- id-cp-GF01.
	Для обеспечения корректного использования сертификата в системе СПТО должны быть установлены следующие значения:
	- id-cp-CA-KC2;
	- id-cp-GF04.
	Для обеспечения корректного использования сертификата в системе СЭД должны быть установлены следующие значения:
	- id-cp-CA-KC2;
	- id-cp-GF03.
	Для обеспечения корректного использования сертификата в системе Landocs должны быть установлены следующие значения:
	- id-cp-CA-KC2;
	- id-cp-GF02.
	Для обеспечения корректного использования сертификата в системе ООС должны быть установлены следующие значения:
	- id-cp-CA-KC2;
	- одно или несколько значений из множества id-cp-GF05-*.
Policy Mappings	Правила отображения множества политик стороннего УЦ в множество политик выпускающего УЦ.
Subject Alternative Name	Дополнительные сведения о владельце сертификата ключа подписи. Допускается использование следующих атрибутов:
	- otherName - последовательность пар "OID"-"данные", перечень допустимых значений представлен в приложении "4";
	- rfc822Name - адрес электронной почты в соответствии с RFC822;
	- dNSName - DNS-имя;
	- x400Address - адрес в соответствии со стандартом Х.400;
	- directoryName - данные в формате Х.501 Name;
	- ediPartyName - последовательность пар "имя"-"имя";
	- uniformResourceIdentifier - универсальный идентификатор ресурса (URI);
	- iPAddress - IP-адрес;
	- registeredID - идентификатор в виде OID.
	Для обеспечения корректного использования сертификата в системе Oracle (АСФК) должны быть заполнены следующие атрибуты:
	- otherName должен содержать номер ключа при смене сертификата в качестве значения параметра OID=id-on-Keyid, при этом при каждой последующей смене ключей номер должен увеличиваться на единицу.
	Для обеспечения корректного использования сертификата в системе СПТО должны быть заполнены следующие атрибуты:
	- otherName должен содержать номер ключа при смене сертификата в качестве значения параметра OID=id-on-Keyid.
	Для обеспечения корректного использования сертификата в системе СЭД должны быть заполнены следующие атрибуты:
	- otherName должен содержать номер ключа при смене сертификата в качестве значения параметра OID=id-on-Keyid;
	- uniformResourceldentifier должен содержать привилегии владельца сертификата.
	Для обеспечения корректного использования сертификата в системе Landocs должны быть заполнены следующие атрибуты:
	- otherName должен содержать идентификатор пользователя в Landocs в качестве значения параметра OID=id-on-Landocsid, значение идентификатора должно быть уникально в рамках системы Landocs. Значение идентификатора получается следующим образом:
	1) если у пользователя нет сертификата для Landocs идентификатор формируется в виде GUID;
	2) если у пользователя есть сертификат для Landocs идентификатор копируется из существующего сертификата.
	Для обеспечения корректного использования сертификата в системе ООС должны быть заполнены следующие атрибуты:
	- otherName должен содержать идентификационный номер организации в качестве значения параметра OID=id-on-Organizationld.
Issuer Alternative Name	Дополнительные сведения об Удостоверяющем центре, издавшем сертификат. Устанавливается УЦ при издании сертификата.
Basic Constraints	Тип сертификата ключа подписи. Допустимы два значение:
	- сертификат уполномоченного лица Удостоверяющего центра;
	- сертификат пользователя.
	Для сертификатов пользователей систем Oracle (АСФК), СПТО, СЭД, Landocs, OOC должно быть установлено значение "сертификат пользователя".
Name Constraints	Не используется
Policy Constraints	Не используется
Extended Key Usage	Назначение использования ключей. Устанавливается в виде битовой маски. Перечень допустимых значение# представлен в 2#
	Для обеспечения корректного использования сертификата в системе Oracle (АСФК) должны быть установлены следующие значения:
	- OID типа документа с правом подписи (один или несколько).
	Для обеспечения корректного использования сертификата в системе СПТО должны быть заполнены установлены следующие значения:
	- OID типа документа с правом подписи (один или несколько).
	Для обеспечения корректного использования сертификата в системе СЭД должны быть заполнены установлены следующие значения:
	- OID типа документа с правом подписи (один или несколько).
	Для обеспечения корректного использования сертификата в системе ООС должны быть заполнены установлены следующие значения:
	- id-kp-clientAuth.
CRL Distribution Points	Множество точек распространения списков отозванных сертификатов в виде URL.
Inhibit any Policy	Не используется
Freshest CRL (a.k.a. Delta CRL Distribution Point)	Множество точек распространения изменений к основным спискам отозванных сертификатов.
Authority Information Access	Множество точек распространения информации об# выпускающем УЦ. Устанавливается УЦ при издании сертификата и может содержать:
	- адрес публикации сертификата выпускающего УЦ
	- адрес доступа к службе оперативной проверки статусов сертификатов по протоколу OCSP.
	Для обеспечения корректного использования сертификата в системе Oracle (АСФК), СПТО, СЭД, Landocs, OOC должны быть установлены следующие значения:
	- адрес доступа к службе OCSP как http://xx.yy.zz.aa/ocsp.dll.
Subject Information Access	Не используется

Таб. 4 Перечень допустимых значений для расширения Key Usage

N п\п	Название	Cмещение битовой маски	Описание
1	digitalSignature	0	Электронная цифровая подпись
2	nonRepudiation/ contentCommitment	1	Неотрекаемость от авторства
3	keyEncipherment	2	Шифрование ключей
4	dataEncipherment	3	Шифрование данных
5	keyAgreement	4	Согласование ключей
6	keyCertSign	5	Электронная цифровая подпись сертификатов ключей подписи
7	cRLSign	6	Электронная цифровая подпись списков отозванных сертификатов
8	encipherOnly	7	Зашифрование
9	decipherOnly	8	Расшифрование

3 Правила обработки полей ЕУС

3.1 Правила обработки атрибутов владельца сертификата

При обработке атрибутов владельца сертификата ключа подписи необходимо:

- для получения фамилии владельца сертификата необходимо использовать RDN surname поля Subject;

- для получения имени и отчества необходимо использовать RDN GivenName поля Subject;

- для получения наименования должности необходимо использовать RDN поля Subject Title;

- для получения кода должности из справочника ЦАФК необходимо использовать RDN поля Subject UnstructuredName;

- для получения фамилии и первых букв имени и отчества в формате "Фамилия И.О." необходимо использовать RDN поля Subject CommonName;

- для получения наименования вышестоящего подразделения необходимо использовать первое вхождение RDN OrganizationalUnit поля Subject;

- для получения наименования подразделения где работает владелец сертификата ключа подписи необходимо использовать последнее вхождение RDN OrganizationalUnit поля Subject;

- для получения наименования организации где работает владелец сертификата ключа подписи необходимо использовать RDN Organization поля Subject;

- для получения наименования населенного пункта где расположено место работы владельца сертификата ключа подписи необходимо использовать RDN Locality поля Subject;

- для получения наименования района/области где расположено место работы владельца сертификата ключа подписи необходимо использовать RDN State поля Subject;

- для получения кода страны где расположено место работы владельца сертификата ключа подписи необходимо использовать RDN Country поля Subject (для России устанавливается RU);

- для получения адреса электронной почты владельца сертификата необходимо использовать RDN EMail поля Subject.

- для получения инициалов необходимо использовать RDN Initials поля Subject;

- для получения адреса места работы владельца сертификата ключа подписи необходимо использовать RDN StreetAddress поля Subject;

- для получения идентификатора пользователя в Landocs необходимо использовать значение параметра OID=id-on-Landocsid атрибута Other Name расширения Subject Alternative Name;

- для получения номера ключа при смене сертификата необходимо использовать значение параметра OID=id-on-Keyid атрибута Other Name расширения Subject Alternative Name;

- для получения идентификатора организации необходимо использовать значение параметра OID=id-on-Organizationld атрибута Other Name расширения Subject Alternative Name;

- для получения ИНН организации пользователя необходимо использовать значение параметра OID=id-on-lnn атрибута Other Name расширения Subject Alternative Name;

- для получения КПП организации пользователя необходимо использовать значение параметра OID=id-on-Kpp атрибута Other Name расширения Subject Alternative Name;

- для получения полномочий организации необходимо использовать значения идентификаторов расширения Certificate Policies (полномочия организации являются составной частью идентификатора полномочий пользователя, перечень возможных полномочий организаций представлен в Таб. А. 1).

3.2 Правила проверки ЕУС

При проверке ЕУС должны быть выполнены следующие действия:

- проверка ЭЦП уполномоченного лица УЦ в сертификате;

- проверка доверия к выпускающему УЦ;

- проверка срока действия сертификата;

- проверка соответствия значений KeyUsage использованию ключевой пары сертификата;

- проверка соответствия значений Extended Key Usage использованию ключевой пары сертификата;

- проверка соответствия значений Certificate Policies области использования сертификата ключа подписи;

- проверка статуса отзыва сертификата ключа подписи;

- проверка корректности атрибутов владельца сертификата ключа подписи.

3.2.1 Проверка доверия к выпускающему УЦ

Проверка доверия к выпускающему УЦ должна включать построение цепочки сертификатов Удостоверяющих центров, начиная с выпускающего УЦ, издавшего проверяемый сертификат и заканчивая доверенным сертификатом УЦ. При построении цепочки должны быть выполнены операции по проверке сертификатов цепочки в соответствие с требованиями раздела 6.1 RFC5280, включая, но не ограничиваясь следующими операциями:

- проверку ЭЦП сертификата цепочки;

- проверку срока действия сертификата цепочки на требуемый момент времени;

- проверку наличия прав на издание сертификатов с расширением Extended Key Usage и значением расширения Extended Key Usage, соответствующим требованиям раздела настоящего документа;

- проверку наличия прав на издание сертификатов с расширением Certificate Policies и значением расширения Certificate Policies, соответствующим требованиям раздела настоящего документа;

- проверку одновременного присутствия следующих битовых масок KeyUsage: digitalSignature, nonRepudiation, keyCertSign (в случае отсутствия данного расширения проверка считается выполненной успешно);

- проверку наличия расширения Basic Constrains со значением lsCA=TRUE;

- другие проверки в соответствие с RFC5280.

Проверка доверия к первому сертификату цепочки должна выполняться на основании нахождения сертификата в хранилище доверенных удостоверяющих центров. В качестве доверенного хранилища могут использоваться:

- хранилище "Доверенные корневые центры сертификации" контекста LocalMachine операционной системы Microsoft Windows;

- хранилище "Корневые сторонние центры сертификации" контекста LocalMachine операционной системы Microsoft Windows;

- специализированное хранилище доверенных сертификатов прикладного программного обеспечения (в этом случае должна быть обеспечена защита от изменения хранилища доверенных сертификатов пользователем программного обеспечения, не входящим в группу администраторов данного программного обеспечения).

3.2.2 Проверка ЭЦП уполномоченного лица УЦ в сертификате

Проверка ЭЦП уполномоченного лица УЦ в сертификате должна выполняться на основании открытого ключа в сертификате выпускающего УЦ и полей signatureAlgorithm и signatureValue в сертификате пользователя.

3.2.3 Проверка срока действия сертификата

При проверке срока действия сертификата должна быть выполнена проверка выполнения одновременно двух условий:

- момент времени на который осуществляется проверка должен быть не раньше даты и времени, указанных в поле notBefore;

- момент времени на который осуществляется проверка должен быть не позже даты и времени, указанных в поле notAfter.

3.2.4 Проверка соответствия значений KeyUsage использованию ключевой пары сертификата

При проверке соответствия значений KeyUsage использованию ключевой пары сертификата необходимо выполнить:

- для признания значений KeyUsage соответствующих использованию ключевой пары для создания ЭЦП должна быть выполнена проверка одновременного присутствия следующих битовых масок: digitalSignature, nonRepudiation;

- для признания значений KeyUsage соответствующих использованию ключевой пары для установления защищенного соединения по протоколу TLS должна быть выполнена проверка одновременного присутствия следующих битовых масок: digitalSignature, nonRepudiation, keyEncipherment, keyAgreement;

- для признания значений KeyUsage соответствующих использованию ключевой пары для создания зашифрованных объектов в формате CMS, PKCS#7 должна быть выполнена проверка присутствия следующей битовой маски: keyAgreement;

- для признания значений KeyUsage соответствующих использованию ключевой пары для создания подписанных и зашифрованных объектов в формате CMS, PKCS#7 должна быть выполнена проверка одновременного присутствия следующих битовых масок: digitalSignature, nonRepudiation, keyAgreement;

- для признания значений KeyUsage соответствующих использованию ключевой пары для выполнения согласования секретного ключа по DH должна быть выполнена проверка присутствия битовой маски: keyAgreement.

3.2.5 Проверка соответствия значений Extended Key Usage использованию ключевой пары сертификата

При проверке соответствия значений Extended Key Usage использованию ключевой пары сертификата необходимо выполнить:

- для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе Oracle (АСФК) должна быть выполнена проверка наличия в списке идентификаторов OID, соответствующего типу электронного документа для которого выполняется проверка ЭЦП;

- для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе СПТО должна быть выполнена проверка наличия в списке идентификаторов OID, соответствующего типу электронного документа для которого выполняется проверка ЭЦП;

- для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе СЭД должна быть выполнена проверка наличия в списке идентификаторов OID, соответствующего типу электронного документа для которого выполняется проверка ЭЦП;

- для признания значений Extended Key Usage соответствующих использованию ключевой пары в системе ООС должна быть выполнена проверка наличия в списке идентификаторов OID=id-kp-clientAuth.

3.2.6 Проверка соответствия значений Certificate Policies области использования сертификата ключа подписи

При проверке соответствия значений Certificate Policies области использования сертификата ключа подписи необходимо выполнить:

- для признания значений Certificate Policies соответствующих использованию сертификата ключа подписи в системе Oracle (АСФК) должна быть выполнена проверка наличия в списке идентификаторов OID=id-cp-GF01;

- для признания значений Certificate Policies соответствующих использованию сертификата ключа подписи в системе СПТО должна быть выполнена проверка наличия в списке идентификаторов OID=id-cp-GF04;

- для признания значений Certificate Policies соответствующих использованию сертификата ключа подписи в системе СЭД должна быть выполнена проверка наличия в списке идентификаторов OID=id-cp-GF03;

- для признания значений Certificate Policies соответствующих использованию сертификата ключа подписи в системе Landocs должна быть выполнена проверка наличия в списке идентификаторов OID=id-cp-GF02;

- для признания значений Certificate Policies соответствующих использованию сертификата ключа подписи в системе ООС должна быть выполнена проверка наличия в списке идентификаторов роли пользователя в ООС, при этом права доступа в рамках ООС должны назначаться в соответствие с правами роли, указанной в OID.

3.2.7 Проверка статуса отзыва сертификата ключа подписи

Способ проверок статуса отзыва устанавливается отдельно для каждой из систем и может включать:

- проверка на основании локального списка отозванных сертификатов;

- проверка на основании локального списка отозванных сертификатов и изменений к нему;

- проверка на основании ответа службы оперативной проверки статусов сертификата (OCSP).

Проверка на основании локального списка отозванных сертификатов должна включать:

- проверку ЭЦП локального СОС, в том числе соответствие выпускающего УЦ, издавшего проверяемый сертификат, и УЦ, издавшего СОС;

- проверку срока действия СОС на момент времени проверки, в случае, если момент времени на который осуществляется проверка лежит за границами срока действия СОС должна быть выполнена попытка или получить актуальный СОС (возможно использование для этого адреса CDP в проверяемом сертификате), или уведомить пользователя о необходимости получить СОС, действительный на необходимую дату, или установить битовую маску для статуса проверки как CERT_TRUST_REVOCATION_STATUS_UNKNOWN1 или CERT_TRUST_IS_OFFLINE_REVOCATION.

Проверка на основании локального списка отозванных сертификатов и изменений к нему должна включать:

- проверку ЭЦП локального СОС, в том числе соответствие выпускающему УЦ, издавшего проверяемый сертификат, и УЦ, издавшего СОС;

- проверку срока действия СОС на момент времени проверки, в случае, если момент времени на который осуществляется проверка лежит за границами срока действия СОС должна быть выполнена попытка или получить актуальный СОС (возможно использование для этого адреса CDP в проверяемом сертификате), или уведомить пользователя о необходимости получить СОС, действительный на необходимую дату, или установить битовую маску для статуса проверки как CERT_TRUST_REVOCATION_STATUS_UNKNOWN или CERT_TRUST_IS_OFFLINE_REVOCATION.

- проверку ЭЦП дополнения к локальному СОС, в том числе соответствие выпускающему УЦ, издавшего проверяемый сертификат, и УЦ, издавшего дополнение к СОС;

- проверку срока действия дополнения к СОС на момент времени проверки, в случае, если момент времени на который осуществляется проверка лежит за границами срока действия дополнения к СОС должна быть выполнена попытка или получить актуальный СОС (возможно использование для этого адреса Freshest CRL в проверяемом сертификате), или уведомить пользователя о необходимости получить СОС, действительный на необходимую дату, или установить битовую маску для статуса проверки как CERT_TRUST_REVOCATION_STATUS_UNKNOWN или CERT_TRUST_IS_OFFLINE_REVOCATION.

Проверка на основании ответа службы оперативной проверки статусов сертификата (OCSP) должна включать:

- обращение к службе OCSP в соответствие со спецификацией протокола;

- получение ответа службы OCSP;

- проверку соответствия идентификатора сертификата отправленного службе OCSP - полученному;

- проверку ЭЦП ответа службы OCSP, включая:

- проверку отсутствия изменений в полученном ответе;

- проверку ЭЦП уполномоченного лица УЦ в сертификате службы OCSP;

- проверку наличия доверия к УЦ, выпустившему сертификат службы OCSP;

- проверку срока действия сертификата службы OCSP на текущий момент времени;

- проверку наличия идентификатора id-kp-OCSPSigning в расширении Extended Key Usage сертификата службы OCSP.

3.2.8 Проверка корректности атрибутов владельца сертификата ключа подписи

Проверка корректности атрибутов владельца сертификата ключа подписи должна выполняться на стадии утверждения издания сертификата обслуживающим персоналам УЦ.

4 Порядок внесения изменений

При внесении изменений следует использовать следующие нотации:

- при добавлении идентификаторов Certificate Policies должен использоваться принцип именования OID id-ср-<относительный ID>, не допускается повторное использование ранее зарегистрированных OID для целей отличных от заявленных изначально. Любое изменение принципов обработки OID должно выполняться путем введения нового OID.

- при добавлении идентификаторов Extended Key Usage должен использоваться принцип именования OID id-eku-<относительный ID>, не допускается повторное использование ранее зарегистрированных OID для целей отличных от заявленных изначально. Любое изменение принципов обработки OID должно выполняться путем введения нового OID.

- при добавлении идентификаторов Other Name расширения SubjectAlternativeName должен использоваться принцип именования OID id-on-<относительный ID>, не допускается повторное использование ранее зарегистрированных OID для целей отличных от заявленных изначально. Любое изменение принципов обработки OID должно выполняться путем введения нового OID.

- при внесении изменений в содержание Subject сертификата ключа подписи недопустимо использование RDN для целей отличных от описанных в Х.500, Х.501, Х.509. В случае необходимости добавления атрибутов владельца сертификата в сертификат необходимо задействовать атрибут Other Name расширения SubjectAlternativeName.

Разработчик программного обеспечения для использования в котором вводятся новые идентификаторы обязан внести в функционал программного обеспечения следующие возможности:

- регистрацию текстовых описаний для используемых идентификаторов (OID) в ОС Microsoft Windows при установке программного обеспечения;

- регистрацию декодировщиков для корректного отображения атрибута Other Name расширения SubjectAlternativeName при установке программного обеспечения.

Внесение изменений в формат ЕУС должно быть согласовано с ФК. ФК оставляет за собой право согласовать формат с другими разработчиками эксплуатируемых систем и не принимать изменений до получения согласия всех разработчиков эксплуатируемых систем.