TERENA Hitelesítés-szolgáltató Szolgáltatási Szabályzat

TERENA Hitelesítés-szolgáltató Szolgáltatási Szabályzat http://www.terena.org Szerver Tanúsítvány Szolgáltatás TERENA Verzió: 1.2 2009. augusztus 3.

Tartalomjegyzék 1. Általános tájékoztató 6 1.1. Áttekintés................................................. 6 1.2. Szolgáltatási szabályzat (CPS)..................................... 6 1.3. CPS alkalmazhatósága, módosításai és publikálása.......................... 7 1.4. Egyéb gyakorlatok és megállapodások................................. 7 1.5. TCS felel ssége.............................................. 7 1.6. Vonatkozó szabványoknak való megfelel ség.............................. 8 1.7. Áttekintés a Hitelesítési Rendekr l................................... 8 1.8. TCS PKI Hierarchia........................................... 8 1.8.1. TCS Szerver Tanúsítványok................................... 9 1.8.2. TCS escience Szerver Tanúsítványok.............................. 9 1.9. TCS Hitelesítés-szolgáltató....................................... 9 1.10. TCS Regisztrációs Szervezetek..................................... 9 1.11. El zet k................................................. 10 1.12. Érintett felek............................................... 10 2. M szaki információk 11 2.1. TCS CA Infrastruktúra......................................... 11 2.1.1. Root CA aláíró kulcs védelme és helyreállítása........................ 11 2.1.2. CA Root aláíró kulcs generálása................................ 11 2.1.3. CA Root aláíró kulcs archiválása................................ 11 2.1.4. Új CA Root aláíró kulcsra való áttérésnél alkalmazott gyakorlat.............. 11 2.1.5. CA Root publikus kulcs kézbesítése az el zet k részére................... 12 2.1.6. Fizikai CA m veletek...................................... 12 2.1.6.1. CA Operátor...................................... 12 2.2. Digitális Tanúsítványok Menedzsmentje................................ 12 2.3. TCS könyvtárak, Tanúsítványtárak és Tanúsítvány Visszavonási Listák............... 13 2.4. TCS tanúsítványok fajtái........................................ 13 2.4.1. TCS szerver tanúsítványok................................... 13 2.4.2. TCS escience szerver tanúsítványok.............................. 14 2.5. Kiterjesztések és elnevezések....................................... 14 2.5.1. Digitális tanúsítványok kiterjesztései.............................. 14 2.6. El zet i magánkulcs generálás folyamata............................... 14 2.7. El zet i magánkulcs védelme és mentése............................... 14 2.8. El zet publikus kulcsának eljuttatása TCS-hez........................... 14 2.9. A kiadott el zet i tanúsítvány eljuttatása El zet höz....................... 15 2.9.1. TCS szerver tanúsítvány..................................... 15 2.9.2. TCS escience szerver tanúsítvány................................ 15 2.10. TCS tanúsítványprolok......................................... 15 1

2.10.1. Kiterjesztés kritikusságára vonatkozó mez.......................... 15 2.10.2. Kulcshasználatra vonatkozó mez................................ 15 2.10.3. Alapvet megkötések....................................... 16 2.10.4. Hitelesítési rend......................................... 16 2.11. Konkrét TCS tanúsítványprolok táblázatai.............................. 16 2.12. TCS CRL prol.............................................. 17 3. Szervezet 18 3.1. Jelen CPS-nek való megfelel ség.................................... 18 3.2. CA tevékenységek beszüntetése..................................... 18 3.3. A nyilvántartások módja......................................... 18 3.4. Nyilvántartások meg rzési ideje..................................... 18 3.5. Alaptevékenységek naplózása...................................... 19 3.5.1. CA- és tanúsítvány életciklus kezelése............................. 19 3.5.2. Biztonsággal kapcsolatos események.............................. 19 3.5.3. Tanúsítványigényléssel kapcsolatos információk........................ 20 3.5.4. Naplók meg rzési ideje...................................... 20 3.6. Üzletmenet-folytonossági és katasztrófa-elhárítási tervek....................... 20 3.7. Visszavonási adatok elérhet sége.................................... 20 3.8. Kritikus információk nyilvánosságra hozatala............................. 20 3.9. Bizalmas információk........................................... 21 3.9.1. Bizalmasnak ítélt információ típusok.............................. 21 3.9.2. Nem bizalmasnak tekintett információ típusok........................ 21 3.9.3. Hozzáférés bizalmas adatokhoz................................. 21 3.9.4. Bizalmas adatok kiadása..................................... 21 3.10. Személyzetre vonatkozó el írások és gyakorlatok........................... 21 3.10.1. Bizalmi munkakörök....................................... 22 3.10.2. Személyzetre vonakozó követelmények............................. 22 3.11. Titoktartási el írások........................................... 22 3.12. Információk nyilvánosságra hozatala.................................. 22 4. Eljárások és gyakorlatok 23 4.1. El zet i regisztráció........................................... 23 4.1.1. Adminisztratív kapcsolattartó.................................. 23 4.2. Tanúsítványigénylés követelményei................................... 23 4.2.1. Az igénylés módjai........................................ 24 4.3. Igénylés ellen rzése............................................ 24 4.3.1. TCS szerver tanúsítvány igénylés ellen rzési eljárása..................... 24 4.4. Tanúsítványkérelmekre vonatkozó ellen rzési információk....................... 24 4.4.1. Igénylésre vonatkozó információk a kérelmez szervezetek részére.............. 24 4.4.2. A kérelmez szervezetekt l várt kiegészít dokumentumok.................. 25 2

4.5. Tanúsítványigénylésre vonatkozó ellen rzési követelmények...................... 25 4.5.1. Gazdasági társaságok adatainak harmadik fél általi meger sítése.............. 26 4.5.2. Sorszámok kiosztása....................................... 26 4.6. A benyújtott adatok ellen rzésére rendelkezésre álló id....................... 26 4.7. Tanúsítványigénylések jóváhagyása és elutasítása........................... 26 4.8. Tanúsítvány kibocsátás és az el zet i hozzájárulás.......................... 26 4.9. A tanúsítvány érvényessége....................................... 26 4.10. Tanúsítvány El zet általi elfogadása................................. 26 4.11. Digitális aláírások ellen rzése...................................... 27 4.12. Digitális aláírásokra való hagyatkozás................................. 27 4.13. Tanúsítvány felfüggesztése........................................ 27 4.14. Tanúsítvány visszavonása........................................ 27 4.14.1. Visszavonási kérelem....................................... 28 4.14.2. A visszavonás hatásai...................................... 28 4.15. Megújítás................................................. 28 4.16. Értesítés a lejáró tanúsítványról..................................... 28 4.17. TCS megállapításai............................................ 28 4.18. TCS digitális tanúsítványban hivatkozott információk........................ 29 4.19. Tanúsítvány visszavonási adatok közzététele.............................. 29 4.20. A benyújtott adatok helyességének ellen rzésére vonatkozó kötelesség................ 29 4.21. Az információk nyilvánosságra hozatala................................ 29 4.22. TCS implementációjába való beavatkozás............................... 29 4.23. Szabványok................................................ 29 4.24. RA korlátozásai.............................................. 29 4.25. RA felel sségvállalásának korlátai.................................... 29 4.26. Kriptográai eljárások megválasztása.................................. 30 4.27. Nem ellen rzött digitális aláírásokra való hagyatkozás........................ 30 4.28. Visszautasított tanúsítványigénylések.................................. 30 4.29. Tanúsítvány kibocsátásának megtagadása............................... 30 4.30. El zet kötelezettségei......................................... 30 4.31. El zet által az elfogadással tett megállapítások........................... 31 4.32. El zet kártérítési kötelezettsége.................................... 32 4.33. TCS RA kötelezettségei......................................... 32 4.34. Az érintett fél kötelezettségei...................................... 32 4.35. Adatok törvényessége........................................... 32 4.36. El zet kötelezettségei az érintett felekkel szemben......................... 33 4.37. A képvisel k feletti ellen rzés kötelessége................................ 33 4.38. Képvisel k alkalmazása......................................... 33 4.39. TCS dokumentumtárának és weboldalának felhasználási feltételei.................. 33 4.40. Az információk pontossága....................................... 33 3

4.41. TCS kötelezettségei............................................ 33 4.42. Adott célra való alkalmasság....................................... 34 4.43. Egyéb garanciák............................................. 34 4.44. Nem ellen rzött El zet i információk................................. 34 4.45. Károk bizonyos fajtáinak kizárása.................................... 34 4.46. Tanúsítvány biztosítási terv....................................... 35 4.47. Tanúsítvány használatra vonatkozó pénzügyi korlátozások...................... 35 4.48. Károkra és veszteségekre vonatkozó korlátok.............................. 35 4.49. Egymásnak ellentmondó szabályozások................................. 35 4.50. TCS szellemi tulajdonra vonatkozó jogai................................ 35 4.51. Szabálytalanságok és egyéb károkozások................................ 36 4.52. Tulajdonjog................................................ 36 4.53. Irányadó jog................................................ 36 4.54. Illetékes hatóság............................................. 36 4.55. Vitás kérdések rendezése......................................... 36 4.56. Utódok és megbízottak.......................................... 36 4.57. Elválaszthatóság............................................. 37 4.58. Értelmezés................................................. 37 4.59. Lemondás tilalma............................................. 37 4.60. Megjegyzések............................................... 37 4.61. Díjak.................................................... 37 4.62. Az újrakiadás irányelvei......................................... 38 4.63. Visszatérítésre vonatkozó irányelvek.................................. 38 Dokumentumkezelés 39 4

A szabályzatban használt fogalmak és rövidítések Rövidítések: CA 1 Hitelesítés-szolgáltató CPS 2 Szolgáltatási szabályzat CRL 3 Tanúsítvány visszavonási lista CSR 4 Tanúsítványigénylés ITU 5 Nemzetközi Távközlési Egyesület ITU-T 6 az ITU telekommunikáció szabványosításáért felel s részlege PKI 7 Nyilvános kulcsú infrastruktúra PKIX 8 X.509 tanúsítványokon alapuló nyilvános kulcsú infrastruktúra PKCS 9 Nyilvános kulcsú kriptográai szabvány RA 10 Regisztrációs Szervezet SSL 11 kriptográai protokoll hálózatok feletti biztonságos kommunikációhoz TLS 12 kriptográai protokoll hálózatok feletti biztonságos kommunikációhoz (SSL utóda) URL 13 Általános er forrás-hely meghatározó X.509 ITU-T szabvány tanúsítványokról és a kapcsolódó authentikációs keretrendszerekr l Fogalmak: Igényl Tanúsítványt igényl el zet. El zet Egy Tag által képviselt ország kutatói és oktatási közösségébe tartozó szervezet, mely számára TERENA 14 tanúsítványt bocsát ki. Tag Európa vagy a környez régiók valamely országának NREN 15 szervezete, mely a TERENA tagja, és mint Regisztrációs Szervezet vesz részt az El zet k tanúsítványainak jóváhagyásában. Érintett fél A tanúsítványban foglalt információkra hagyatkozva eljáró személy. El zet i megállapodás Tag és valamely El zet je közötti megállapodás, melynek elfogadása és aláírása szükséges El zet részér l a tanúsítványigénylés el tt. Megállapodás az érintett féllel Megállapodás, melyet elolvasva, a tanúsítvány ellen rzése illetve az arra való hagyatkozás el tt, az érintett félnek el kell fogadnia. Referenciaként elérhet a http://www.terena.org/tcs/repository címen. Hitelesítési rend Kibocsátó nyilatkozata a tanúsítvány alkalmazhatóságáról a kibocsátásban megszabott feltételek gyelembevételével. 1 Certication Authority 2 Certicate Practice Statement 3 Certicate Revocation List 4 Certicate Signing Request 5 International Telecommunication Union 6 ITU Telecommunication Standardization Sector 7 Public Key Infrastructure 8 Public Key Infrastructure (based on X.509 Digital Certicates) 9 Public Key Cryptography Standard 10 Registration Authority 11 Secure Sockets Layer 12 Transaction Layer Security 13 Uniform Resource Locator 14 Trans-European Research and Education Networking Association 15 National Research and Education Networking 5

1. Általános tájékoztató Jelen dokumentum a TERENA Hitelesítés-szolgáltató (továbbiakban TCS) Szolgáltatási Szabályzata (CPS), mely áttekintést nyújt azon jogi, üzleti és m szaki alapelvekr l és gyakorlatokról, melyeket TCS a hitelesítésszolgáltatásai - ideértve, de nem kizárólag a digitális tanúsítványok jóváhagyását, kibocsátását, felhasználását és karbantartását -, valamint egy X.509 tanúsítványokon alapuló nyilvános kulcsú infrastruktúra (PKIX) fenntartása során, a TERENA által meghatározott Hitelesítési rendnek megfelel en, alkalmaz. Deniálja továbbá a tanúsítás folyamatait El zet számára, és leírja TCS tanúsítványtárra vonatkozó m veleteit. A CPS egyben tájékoztatás a TCS PKI-n belüli tanúsítvány alapú eljárások szerepl i számára a szerepek és felel sségi körök tekintetében. 1.1. Áttekintés TCS a UserTrust Láncolt Hitelesítés-szolgáltatója (CA), és mint ilyen, ezen CPS-sel összhangban állít ki min ségi és nagy megbízhatóságú digitális tanúsítványokat a jogosult entitások részére. CA-ként TCS publikus kulcs m veletekkel összefügg feladatokat lát el, melybe beleértend a kérelmek fogadása; digitális tanúsítványok kiadása, visszavonása és megújítása; a Tanúsítvány visszavonási listák (CRL-ek) karbantartása, illetve kiadása és publikálása a TCS PKI felhasználói számára. A hitelesítés-szolgáltatást TERENA a tagjai közösségének nyújtja. TERENA megállapodás szerint kiterjeszti TCS tagsági körét az általa jóváhagyott harmadik felekre, a Regisztrációs Szervezetekre (RA). A TCS RA-k nemzetközi hálózata TERENA el írásait, gyakorlatait és CA infrastruktúráját felhasználva bocsát ki TCS digitális tanúsítványokat. TCS CA rendszerét a Comodo CA Limited (továbbiakban CA Operátor) hosztolja és üzemelteti. 1.2. Szolgáltatási szabályzat (CPS) A TCS CPS egy publikus nyilatkozat TCS gyakorlatairól és a TCS szolgáltatói hierarchiájában kiadott tanúsítványok kibocsátásának, visszavonásának és megújításának feltételeir l. Egy CA jól elkülöníthet feladatainak megfelel en ezen CPS a következ nagyobb fejezetekre tagolt: M szaki-, Szervezeti-, Gyakorlati- és Jogi információk. Jelen CPS-t és a - benne hivatkozott - kapcsolódó megállapodásokat a TCS Szabályozó Testülete (továbbiakban PMA 16 ) tartja karban. A PMA a következ e-mail címen érhet el: tcs-pma@terena.org CPS, valamint a - benne hivatkozott - kapcsolódó megállapodások és a tanúsítványokra vonatkozó rendelkezések online elérhet ek a http://www.terena.org/tcs/repository címen. Jelen CPS egyedi azonosítója (OID): 1.3.6.1.4.1.25178.2.1.1.1 Az egyedi azonosító felépítése: ISO 1 ISO által elismert szervezet 3 US DoD 17 6 Internet 1 Internet Private 4 IANA 18 -nál regisztrált magánvállalat 1 16 Policy Management Authority 6

TERENA 25178 TCS 2 CPS 1 F verziószám 1 Alverziószám 1 1.3. CPS alkalmazhatósága, módosításai és publikálása A CPS-ben ismertetett el írások alkalmazhatósági körét TCS PMA állapítja meg. A testület egyben a módosított változat publikálását megel z en a CPS tervezett változtatásai alkalmazhatósági körének megállapításáért is felel s. Amennyiben PMA úgy ítéli meg, hogy az általa elfogadott változtatások jelent s hatással vannak a CPS felhasználóira, úgy CPS egy frissített változata - melyet megfelel en megnövelt verziószám azonosít - kerül közzétételre TCS dokumentumtárában a http://www.terena.org/tcs/repository címen. TCS PMA a változtatásokat rendszerint azok hatályba lépése el tt 30 nappal hirdeti ki, hacsak azokra nem az ipari szabványokban történt változás, TCS tanúsítvány m veleteinek fenntartása érdekében, vagy törvényi el írások miatt van szükség. Utóbbi esetekben TCS a változtatások kihirdetését megfelel en alkalmas id ben végzi ahhoz, hogy a körülményekhez mérten elfogadható tájékoztatást nyújtson. A nem "szignikáns"-ként jelölt kiadások azok, melyek TCS PMA megítélése alapján a TCS CA által kiadott tanúsítványokat és CRL-eket használó meglév el zet kre és az érintett felekre semmilyen vagy csak minimális hatással bírnak. Ilyen kiadásokra a CPS verziószámának megváltoztatása és felhasználóinak értesítése nélkül is lehet ség van. TCS új szolgáltatásai esetén az azokat tartalmazó kiadások az elfogadásuk után két nappal kerülnek publikálásra (ld. 2.4). Az érvényben lév szabályozások kell mértékben szavatolják, hogy a TCS CPS nem kerülhet elfogadásra és tehet közzé PMA el zetes hozzájárulása nélkül. 1.4. Egyéb gyakorlatok és megállapodások A CPS csak egy a TCS hitelesítés-szolgáltatásai nyújtására vonatkozó dokumentumok közül. A kapcsolódó dokumentumok és státuszaik az alábbiakban kerülnek ismertetésre: Dokumentum Státusz Fellelhet ség TCS Szolgáltatási Szabályzat nyilvános TCS dokumentumtár: http://www.terena.org/tcs/repository Minta El zet i Megállapodáshoz nyilvános TCS dokumentumtár: http://www.terena.org/tcs/repository NREN-RA Megállapodás bizalmas partnerek részére bemutatásra kerül 1.5. TCS felel ssége TCS e CPS-ben foglalt feltételek szerinti jogi felel sségvállalásaival kapcsolatban a 4. fejezet nyújt tájékoztatást. 17 Department of Defense 18 Internet Assigned Numbers Authority 7

1.6. Vonatkozó szabványoknak való megfelel ség Jelen CPS-ben meghatározott gyakorlatokat úgy tervezték, hogy elérjék vagy meghaladják a széles körben elfogadott és fejl d ipari- (pl.: AICPA 19 /CICA 20 WebTrust Program for Certication Authorities) valamint a CA-k m ködtetésére vonatkozó egyéb szabványok követelményeit. 1.7. Áttekintés a Hitelesítési Rendekr l A digitális tanúsítvány speciális formátumú adat, mely kriptográai értelemben rendel össze egy azonosított el zet t annak publikus kulcsával. Lehet vé teszi, hogy egy elektronikus tranzakcióban résztvev entitás igazolhassa személyazonosságát az ugyanezen tranzakció többi résztvev je felé. Ahogy ebben a CPS-ben ismertetésre kerül, TCS különböz típusú tanúsítványok sorát kínálja. Az egyes tanúsítvány fajták különféle felhasználási lehet ségekkel bírnak, és eltér irányelvek vonatkoznak rájuk. Pályázó Tanúsítvány típus Elérhet ség Validálási szintek 21 Javasolt használat Vállalat vagy Biztonságos Szerver - TCS Weboldal, 1. Valamely harmadik fél SSL / TLS sessiont hoz Szervezet Tanúsítvány: TCS NREN Weboldalak adatbázisa vagy üzleti dokumentumok alapján ellen- nak otthont adó szerver és létre a szerver tanúsítvány- Server Certicate rzésre kerül, hogy kérvényez rendelkezik-e a kérelemben megadott üzleti- és dodal látogató között. A pro- a kliens / ügyfél / webolmain nevek használati jogával. tokollt arra tervezték, hogy egy szerver azonosítsa matokollt 2. Kérvényez neve meg gát egy kliens felé és biztosítsa az SSL / TLS session kell egyezzen a (társasági bélyegz vel hitelesített és a m ködési engedélyt tartalmazó) El zet i Megállapozalmasságát. Nem monetá- során átküldött adatok bidásban szerepl névvel. 3. A kérelemben megadott név kérelmez hivatalos neve, ris tranzakciókhoz használható. annak angol fordítása, vagy 7 bites ASCII átirata lehet. Vállalat vagy Szervezet Biztonságos Szerver Tanúsítvány: TCS escience Server Certi- cate - TCS Weboldal, NREN Weboldalak 1. Valamely harmadik fél adatbázisa vagy üzleti dokumentumok alapján ellen- rzésre kerül, hogy kérvényez rendelkezik-e a kérelemben megadott üzleti- és domain nevek használati jogával. 2. Kérvényez neve meg kell egyezzen a (társasági bélyegz vel hitelesített és a m ködési engedélyt tartalmazó) El zet i Megállapodásban szerepl névvel. 3. A kérelemben megadott név kérelmez hivatalos nevének angol fordítása, vagy 7 bites ASCII átirata lehet. escience hosztok és szolgáltatások azonosításakor, nem monetáris tranzakciókhoz használható. Minthogy a digitális tanúsítvány javasolt felhasználása alkalmazásonként eltér lehet, ezért az El zet k elemi érdeke kell legyen, hogy gondosan tanulmányozzák a konkrét alkalmazásaikkal kapcsolatos követelményeket, miel tt egy adott típusú tanúsítványt igényelnek. 1.8. TCS PKI Hierarchia TCS UserTrust (AICPA/CICA WebTrust Program for Certication Authorities által elismert biztonsági szolgáltató) root CA tanúsítványt használ. Az együttm ködés lehet vé teszi, hogy örökölve UserTrust root tanúsítványának (UTN) bizalmi szintjét, TCS nagy megbízhatóságú digitális tanúsítványokat adjon ki. A következ ekben TCS PKI magas szint ábrázolásának segítségével kerül szemléltetésre az alkalmazott hierarchia. 19 American Institute of Certied Public Accountants 20 Canadian Institute of Chartered Accountants 21 Validálási szintek: TCS RA az RA-k számára biztosított szigorú irányelvek mentén irányítja az validálást. Az RA-kat jelen CPS 1.10 fejezete azonosítja, valamint vázolja azok szerepét és felel sségeit. 8

1.8.1. TCS Szerver Tanúsítványok UTN-UserFirst-Hardware (sorozatszáma 48:4b:ac:f1:aa:c7:d7:13:43:d1:a2:74:35:49:97:25) ë TERENA SSL CA (sorozatszám = 4b:c8:14:03:2f:07:fa:6a:a4:f0:da:29:df:61:79:ba, lejárat = 2020. május 30.) Végfelhasználói SSL (sorozatszám = x, lejárat = kiadástól számított 1, 2 vagy 3 év) 1.8.2. TCS escience Szerver Tanúsítványok UTN-UserFirst-Hardware (sorozatszáma 48:4b:ac:f1:aa:c7:d7:13:43:d1:a2:74:35:49:97:25) ë TERENA escience SSL CA (sorozatszám = 11:43:9e:af:68:21:02:93:f7:c5:01:1b:5c:17:dc:a0, lejárat = 2020. május 30.) Végfelhasználói escience SSL (sorozatszám = x, lejárat = kiadástól számított legfeljebb 13 hónap) 1.9. TCS Hitelesítés-szolgáltató Hitelesítés-szolgáltatói (CA) szerepében TCS hitelesítés szolgáltatásokat nyújt TCS PKI-n belül. A TCS CA: Tevékenységében alkalmazkodik a CPS-hez (illetve egyéb közzétett CA üzleti gyakorlatokhoz), mely a TCS dokumentumtárban (http://www.terena.org/tcs/repository) nyilvánosságra hozott változtatásokkal id r l-id re módosulhat. A tanúsítványok kibocsátását és nyilvánosságra hozatalát a CPS-ben rögzített kibocsátási id knek megfelel en a kell id ben végzi el. Az arra jogosult személyt l, a CPS-ben ismertetett visszavonási eljárás keretében, kapott érvényes tanúsítvány visszavonási kérelem alapján visszavonja a TCS PKI-n belüli használatra kiadott tanúsítványt. E-mailben értesíti az El zet ket a TCS által (a CPS-ben közzétett id tartamra) kiadott tanúsítványaik közelg lejártáról. 1.10. TCS Regisztrációs Szervezetek TERENA kialakította TCS PKI-ban a digitális tanúsítványok teljes életciklusának menedzseléséhez szükséges biztonságos infrastruktúrát. Egyúttal, a Regisztrációs Szervezetek hálózatán (egy-egy RA a TCS-ben résztvev minden NREN-ben) keresztül, TERENA elérhet vé teszi el zet i számára CA szolgáltatásait. Egy TCS RA: Nyilvántartást vezet a körzetébe tartozó, El zet ként elfogadott szervezetekr l. Tanúsítványkérelmeket fogad be, bírál el, hagyhat jóvá vagy utasíthat el. A TCS validálási irányelveit áttekint dokumentációban foglaltaknak megfelel en, ellen rzi a kérelem beadásakor az El zet által szolgáltatott adatok pontosságát és hitelességét. El zet kérelmét hivatalos, közjegyz által vagy egyéb úton hitelesített iratok alapján bírálja el. A TCS validálási irányelveit áttekint dokumentációban foglaltaknak megfelel en, a tanúsítvány kiadásakor, újrakiadásakor vagy megújításakor, ellen rzi az El zet által szolgáltatott adatok pontosságát és hitelességét. TCS gyakorlataival és eljárásaival összhangban, a TCS RA-k, TERENA egyetértésével és jóváhagyásával, saját hatáskörben tevékenykednek földrajzi- ill. üzleti együttm ködéseik tekintetében. 9

1.11. El zet k El zet a TCS által támogatott tranzakciókkal és kommunikációval összefüggésben használja PKI-t. Birtokolja az t azonosító tanúsítványban szerepl nyilvános kulcs privát párját. El zet kötelessége, hogy a vonatkozó El zet i Megállapodást aláírva és lepecsételve eljuttassa RA-hoz. 1.12. Érintett felek Az érintett felek TCS tanúsítványokkal összefüggésben használják PKI-t, és érthet módon hagyatkoznak olyan tanúsítványokra ill. digitális aláírásokra, melyek az El zet tanúsítványában szerepl publikus kulcs segítségével ellen rizhet k. A kapott digitális tanúsítvány érvényességének ellen rzéséhez, a tanúsítványban foglaltakra való hagyatkozás el tt, az érintett feleknek a Tanúsítvány Visszavonási Lista (CRL) vagy az Online Tanúsítvány Állapot Szolgáltatás (OCSP service) segítségével meg kell gy z dniük arról, hogy TCS nem vonta vissza a kérdéses tanúsítványt. A CRL valamint az OCSP válaszadó fellelhet ségér l a tanúsítvány ad tájékoztatást. 10

2. M szaki információk Ebben a fejezetben a TCS infrastruktúra, valamint a PKI szolgáltatások egyes m szaki vonatkozásai kerülnek tárgyalásra. 2.1. TCS CA Infrastruktúra A TCS CA Infrastruktúra megbízható rendszerek felhasználásával biztosítja hitelesítés szolgáltatásait. A megbízható rendszer hardver- és szoftverkomponensek illetve eljárások együttese, mely elfogadható mérték t r képességet mutat a biztonsági kockázatokkal szemben, biztosítja az indokolt szint rendelkezésre állást, megbízhatóságot és a korrekt m ködést, valamint biztonsági házirendet juttat érvényre. A TCS CA Infrastruktúrát Comodo CA Ltd. hosztolja és üzemelteti. 2.1.1. Root CA aláíró kulcs védelme és helyreállítása A CA Root aláíró kulcspárok védelmét IBM 4578 kriptográai koprocesszor eszközök használata biztosítja; ezek kulcs generálás, -tárolás és -használat szempontjából FIPS 140-1 negyedik szintjéig hitelesítettek. A CA Root aláíró kulcspárok hossza 2048 bit, és az IBM 4578 eszköz segítségével generálták ket. CA szám Leírás Használat Élettartam Méret 1 TERENA SSL CA Köztes tanúsítvány 3-as osztályú 2019. július 10-ig 2048 SSL szerver tanúsítványokhoz A CA Root kulcs helyreállításának céljából a Root CA aláíró kulcsok titkosított formában, egy biztonságos környezetben kerültek elhelyezésre. A visszafejtéshez szükséges kulcs öt hordozható adattárolóra került szétosztásra, és az ötb l három szükséges a visszafejt kulcs rekonstrukciójához. Ezen felül, két-két meghatalmazott r szükséges az adattárolókhoz való zikai hozzáféréshez az elkülönített, zikailag biztonságos helyszíneken. A CA Root aláíró kulcsok valamely más kriptograkus hardver biztonsági modulon történ meg rzése esetén, az érintett kulcsok átvitele az eszközök között kizárólag titkosított formában történhet. Comodo, az AICPA/CICA WebTrust programjának megfelel infrastruktúrájával és CPS-ével összhangban, garantálja a UserTrust Root aláíró kulcspárjának védelmét. A WebTrust program szerinti megfelel ségének részletei Comodo hivatalos weboldalán (http://www.comodo.com/) érhet ek el. 2.1.2. CA Root aláíró kulcs generálása TCS magánkulcsainak generálását és védelmét megbízható rendszer (IBM 4758, mely a FIPS PUB 140-1 negyedik szintjéig akkreditált) segítségével valósítják meg, és minden szükséges óvintézkedést megtesznek annak érdekében, hogy elkerüljék azok kompromittálódását ill. jogosulatlan használatát. A TCS CA Root kulcsot biztonságos módon és körülmények között generálták. A root kulcs generálása során elvégzett tevékenységek, és a benne résztvev személyek audit célokra rögzítésre kerültek. Bármilyen jöv beni root kulcs generálás biztonságos körülmények között kerül lebonyolításra. 2.1.3. CA Root aláíró kulcs archiválása A lejárt CA Root aláíró kulcspárok, lejáratuk után, legalább hét évre archiválásra kerülnek. A kulcsok a lejáratukat megel z en egy kriptograkus biztonsági hardver modulra kerülnek archiválásra, a CPS 2.1.1 fejezetében ismertetett biztonságos tárolásnak megfelel en. 2.1.4. Új CA Root aláíró kulcsra való áttérésnél alkalmazott gyakorlat TCS CA kulcsok élettartamára vonatkozó információt a 2.1.1 fejezetben található táblázat tartalmazza. Minden egyes magánkulcs lejárta el tt legalább tizenkét hónappal egy új CA kulcspár kerül létrehozásra, és az ezt követ en kiadott tanúsítványokat és CRL-eket már az új magánkulccsal írják alá. Mindkét kulcs (régi és új) 11

egyidej leg használatban maradhat. A vonatkozó új CA publikus kulcs tanúsítványhoz az el zet k és érintett felek a 2.1.5 fejezetben ismertetett kézbesítési eljárásoknak megfelel en jutnak hozzá. 2.1.5. CA Root publikus kulcs kézbesítése az el zet k részére TCS összes CA Root tanúsítványát elérhet vé teszi a http://crt.tcs.terena.org címen található online tanúsítványtárban. A UserTrust Root tanúsítvány megtalálható az Internet Explorerben (5.00 vagy újabb), a Netscape-ben (4.x vagy újabb), az Operaban (5.0 vagy újabb) és az érintett felek számára e böngész kön keresztül válik elérhet vé. Az el zet tanúsítványának kiadásakor és kézbesítésekor TCS a teljes tanúsítványláncot (ld. jelen CPS 1.8 fejezetét) elérhet vé teszi El zet számára. 2.1.6. Fizikai CA m veletek 2.1.6.1. CA Operátor CA Operátor létesítményeinek biztonságos részeihez való hozzáférés zikai hozzáférés-szabályozással korlátozott, és csak a megfelel jogosultságokkal rendelkez személyek (Bizalmi Munkatársak) számára engedélyezett. Kártyás beléptet rendszerek szabályozzák, monitorozzák és naplózzák a létesítmény összes területéhez való hozzáférést. A biztonságos létesítményen belüli TCS CA zikai eszközökhöz való hozzáférés zárt lemezszekrényekkel és logikai hozzáférés szabályozással védett. CA Operátor megtette a szükséges óvintézkedéseket annak érdekében, hogy garantálja biztonságos létesítményeinek védettségét: t z- (a helyi t zvédelmi el írásoknak megfelel en) és füstkárokkal vízkárral és elárasztódással szemben. CA Operátor biztonságos létesítményei els - és másodlagos tápellátással rendelkeznek, melyek biztosítják a folyamatos és zavartalan áramellátást. Klímaberendezés és ventillációs rendszer gondoskodik a túlmelegedés elkerülése és a páratartalom megfelel szintjének fenntartása érdekében. CA Operátor garantálja, hogy minden t le telhet intézkedést megtesz annak érdekében, hogy észlelje és megakadályozza a szerz désszegéseket, az eszközeivel kapcsolatos veszteségeket, az azokban bekövetkez károkat illetve azok kompromittálódását, valamint az üzleti tevékenységeinek megzavarását. 2.2. Digitális Tanúsítványok Menedzsmentje A TCS tanúsítvány menedzsment többek között az alábbi tevékenységeket foglalja magába: tanúsítvány igényl je személyazonosságának ellen rzése tanúsítvány kiadásának engedélyezése tanúsítvány kiadás tanúsítvány visszavonás tanúsítvány listázás tanúsítvány terjesztés tanúsítvány nyilvánosságra hozatal tanúsítvány tárolás tanúsítvány helyreállítása a rá vonatkozó használati körrel összhangban 12

A TCS PKI-t átfogó tanúsítvány menedzsmentet - közvetlenül, valamely általa jóváhagyott RA-n vagy Comodon keresztül - TERENA irányítja. TERENA nem vesz részt El zet kulcspárjának generálásával, kiadásával, érvénytelenítésével vagy megsemmisítésével kapcsolatos tevékenységekben. 2.3. TCS könyvtárak, Tanúsítványtárak és Tanúsítvány Visszavonási Listák CA Operátor tartja karban és teszi nyilvánosan elérhet vé CRL-ek formájában a visszavont tanúsítványok listáját. TCS nevében kiadott minden CRL az RFC5280-ban ismertetett X.509v2 formátumú CRL. A felhasználók és érintett felek elemi érdeke, hogy egy tanúsítványban foglalt információkra való hagyatkozás el tt minden esetben tájékozódjanak a visszavont tanúsítványok listáit illet en. Tanúsítvány visszavonás esetén CA Operátor a CRL egy új, frissített változatát hozza nyilvánosságra. A végfelhasználói tanúsítványokra vonatkozó CRL a következ címeken érhet el: http://crl.tcs.terena.org/terenasslca.crl http://crl.tcs.terena.org/terenaesciencesslca.crl A tanúsítványok visszavonási állapotával kapcsolatos információ elérése a CA Operátor által m ködtetett OCSP válaszadó segítségével lehetséges, a következ címen: http://ocsp.tcs.terena.org A visszavonásra került köztes tanúsítványok közzététele az alábbi címen elérhet CRL-ben történik: http://crl.usertrust.com/utn-userfirst-hardware.crl TERENA a dokumentumtárában teszi közzé a PKI szolgáltatásaira vonatkozó közleményeket, beleértve jelen CPS-t, megállapodásokat és feljegyzéseket, a CPS-ben fellelhet hivatkozásokat, és bármely egyéb információt, amit a szolgáltatásaival kapcsolatban lényegesnek ítél. A TCS dokumentumtár a http://www.terena.org/tcs/repository címen érhet el. 2.4. TCS tanúsítványok fajtái TCS jelenleg a digitális tanúsítványok és a hozzájuk kapcsolódó termékek egy olyan portfólióját kínálja, melyek használata képes kielégíteni a felhasználók személyes- és üzleti tevékenységeihez f z d kommunikáció biztonságára vonatkozó igényeit, ideértve, de nem kizárólag az online tranzakciók védelmét és a résztvev k azonosítását, legyenek azok bár jogi- vagy természetes személyek, egy hálózat eszközei vagy egy közösség tagjai. TERENA belátása szerint módosíthatja vagy kiegészítheti termékeinek körét, beleértve a kiadott tanúsítványok típusait. TCS termékkörének változása vagy nyilvánosságra hozatala semmilyen harmadik fél általi követeléshez nem ad alapot. A TCS hierarchiában bevezetett új tanúsítvány termék bevezetése esetén két napon belül a CPS egy javított változata kerül közzétételre TCS hivatalos dokumentumtárában. 2.4.1. TCS szerver tanúsítványok A TCS révén elérhet biztonságos szerver tanúsítványok, SSL vagy TLS szerver használata mellett, igazolják a publikus szerver identitását, biztosítva a teljes autentikációt, és lehet vé téve az ügyfelekkel és üzleti partnerekkel a biztonságos kommunikációt. A TCS szerver tanúsítványok támogatják több domain név megadását egy tanúsítványon belül. Tanúsítványonként 100 domain név engedélyezett. A TCS szerver tanúsítványok támogatják az egy tanúsítványban megadott több aldomainnek, az RFC 2818 3.1 fejezetében specikált wildcard névformátum szerinti használatát. Jelen CPS 4.3 fejezetével összhangban a TCS szerver tanúsítványok esetében a domain nevek, valamint a kérelmet benyújtó szervezetet azonosító adatok is ellen rzésre kerülnek. A tanúsítvány organizationname mez je: a) az el zet szervezet hivatalos, anyanyelvi megnevezése UTF8String kódolásban, vagy; b) a szervezet nevének 7 bites ASCII átirata, vagy; 13

c) a szervezet nevének angol fordítása. A szervezet hivatalos neve az eljáró RA el tt mindenkoron ismert kell legyen. 2.4.2. TCS escience szerver tanúsítványok A TCS escience szerver tanúsítványok escience hosztok és szolgáltatások autentikálására használhatók fel. Jelen CPS 4.3 fejezetével összhangban TCS escience szerver tanúsítványok esetében a domain nevek, valamint a kérelmet benyújtó szervezetet azonosító adatok is ellen rzésre kerülnek. ajánlásával ("Biztonságos infrastruktúrával rendel- A TCS escience szerver tanúsítványok kiadása az IGTF 22 kez klasszikus X.509 CA-k") összhangban történik, azaz: Minden TCS escience szerver tanúsítvány esetén, a tanúsítvány alanya a "dc=org, dc=terenam dc=tcs" prex által meghatározott dedikált névtérbe tartozik. A TCS escience szerver tanúsítványok érvényessége legfeljebb 13 hónapra szólhat. A TCS escience szerver tanúsítványokban, az alany nevében az összes attribútum értéke kizárólag 7 bites ASCII szöveget tartalmazhat. Bármely TCS escience szerver tanúsítvány alanya pontosan egy végfelhasználóhoz kötött. 2.5. Kiterjesztések és elnevezések 2.5.1. Digitális tanúsítványok kiterjesztései TCS az RFC5280-ban ismertetett X.509 szabvány hármas verziója alapján jár el a TCS PKI-n belüli használatra tervezett digitális tanúsítványok elkészítésekor. 2.6. El zet i magánkulcs generálás folyamata TCS nem nyújt a kulcsok generálásával, letétbe helyezésével, helyreállításával vagy mentésével kapcsolatos szolgáltatást. A kérelem beadásakor, a tanúsítvány típusának megfelel RSA kulcspár generálásáért, kizárólag El zet felel. A kérelem beadása során El zet nek egy publikus kulcsot, valamint egyéb személyes / szervezeti adatokat szükséges megadnia. A szerver tanúsítvány kérelmek el állítását tipikusan az El zet web szerver szoftverében elérhet kulcsgenerálási lehet ségek alkalmazásával végzik. 2.7. El zet i magánkulcs védelme és mentése Kizárólag El zet a felel s magánkulcsainak védelméért. TCS nem vesz részt ezen kulcsok generálásában, védelmében vagy továbbításában. El zet k elemi érdeke, hogy a magánkulcsával kapcsolatos illetéktelen hozzáférés és -használat megakadályozása érdekében er s jelszót vagy azzal egyenérték autentikációs eljárást alkalmazzon. 2.8. El zet publikus kulcsának eljuttatása TCS-hez A TCS- és TCS escience szerver tanúsítvány kérelmek El zet web szerver szoftvere révén készülnek el, és PKCS #10 CSR 23 formájában kerülnek benyújtásra TCS-hez. A beadvány beküldése elektronikus úton, TERENA által jóváhagyott RA-n keresztül lehetséges. 22 International Grid Trust Federation 23 Certicate Signing Request 14

2.9. A kiadott el zet i tanúsítvány eljuttatása El zet höz Az el zet i tanúsítvány eljuttatása a hozzá kapcsolódó El zet höz függhet a tanúsítvány típusától. 2.9.1. TCS szerver tanúsítvány A TCS szerver tanúsítványok, El zet részére, a kérelem beadójának a kérelmezés során megadott e-mail címére kerülnek kézbesítésre. 2.9.2. TCS escience szerver tanúsítvány A TCS escience szerver tanúsítványok, El zet részére, a kérelem beadójának a kérelmezés során megadott e-mail címére kerülnek kézbesítésre. 2.10. TCS tanúsítványprolok TCS tanúsítványai általános célúak, és használatuk a földrajzi elhelyezkedés vagy iparág vonatkozásában nem korlátozott. Annak érdekében, hogy TCS tanúsítványára hagyatkozhasson, az érintett félnek X.509v3 kompatibilis szoftverrel kell rendelkeznie. A tanúsítványprol az alábbi mez ket tartalmazza: 2.10.1. Kiterjesztés kritikusságára vonatkozó mez A kiterjesztés kritikusságát jelöl mez a kérdéses kiterjesztés két lehetséges használatára ad lehet séget. A kiterjesztés kritikus volta esetén, a tanúsítványhoz tartozó kulcs kizárólag a felsorolt tevékenységekhez alkalmazható. A kulcs más célra történ felhasználása ez esetben a kiadó szabályzatába ütközne. Amennyiben a kiterjesztés nem kritikus, úgy a tanúsítványt feldolgozó olyan rendszer, mely az adott kiterjesztést nem ismeri fel, vagy nélkülözi az adott kiterjesztés implementációját, a kiterjesztés gyelmen kívül hagyásával folytathatja a tanúsítvány feldolgozását. 2.10.2. Kulcshasználatra vonatkozó mez A TCS tanúsítványok tartalmaznak egy, a kulcshasználatra vonatkozó mez t, amely meghatározza azon célokat, melyekre a tanúsítvány felhasználható, valamint technikailag behatárolja a tanúsítvány funkcionalitását, annak X.509v3 kompatibilis szoftverrel való használatakor. A kulcshasználatra vonatkozó mez re való hagyatkozáshoz a használt szoftver X.509v3 szabványnak megfelel korrekt implementációja szükséges, ez azonban kívül esik TCS hatókörén. A kulcsok felhasználására vonatkozó, X.509v3 szabványban azonosított célok az alábbiak: a) Digitális aláírás; digitális aláírások ellen rzéséhez, nem ideértve a b), f) és g) pontokban megjelölt célokat, tehát entitások autentikálására, adatok eredetének ellen rzésére illetve integritásának védelmére. b) Letagadhatatlanság; olyan digitális tanúsítványok ellen rzéséhez, melyeket letagadhatatlanság biztosítása érdekében használnak, azaz védelmet nyújtanak az olyan esetekkel szemben, amikor az aláíró fél hamisan tagadja le valamely tettét (nem ideértve CRL-ek aláírását, amint az az f) és g) pontokban szerepel). c) Kulcs titkosítás; kulcsok vagy más biztonsági információk titkosítására, például kulcsok átvitele esetén. d) Adattitkosítás; adatok titkosítására, kivéve a kulcsok és más biztonsági információkat, ahogy az feljebb, a c) pontban szerepel. e) Kulcs egyeztetés; kulcs egyeztetéshez, például kulcsmenedzsmenthez használt Die-Hellman kulcs használatakor. f) Tanúsítvány aláírás; kizárólag CA tanúsítványok esetén, a tanúsítványon lév CA aláírásának vizsgálatára. g) CRL aláírás; CA aláírásának ellen rzésére CRL-eken. 15

h) Titkosító kulcs; kulcsegyeztetés során használt publikus kulcsmegállapodási kulcsként, kizárólag az adatok titkosítására. i) Visszafejt kulcs; kulcsegyeztetés során használt publikus kulcsmegállapodási kulcsként, kizárólag az adatok visszafejtésére. 2.10.3. Alapvet megkötések Az alapvet megkötések kiterjesztés határozza meg, hogy a tanúsítvány alanya felléphet-e CA-ként, vagy csak és kizárólag végfelhasználóként. Az alapvet megkötések kiterjesztésre való hagyatkozáshoz a használt szoftver X.509v3 szabványnak megfelel korrekt implementációja szükséges, ez azonban kívül esik TCS hatókörén. 2.10.4. Hitelesítési rend A hitelesítési rend a kibocsátó nyilatkozata a tanúsítvány alkalmazhatóságáról a kibocsátásban megszabott feltételek gyelembevételével. A szabályzat azonosító egy specikus tartományba tartozó egyedi szám, mely lehet vé teszi a szabályzat, például a hitelesítési rend, egyértelm azonosítását. 2.11. Konkrét TCS tanúsítványprolok táblázatai TCS szerver tanúsítvány Aláíró algoritmus Kiadó Érvényesség Alany Alapvet megkötések (kritikus) Kulcshasználat (kritikus) Kiterjesztett kulcshasználat Alany alternatív nevei CRL szétosztási pont Kibocsátó tanúsítványának elérhet sége sha1 RSA titkosítással C NL O TERENA CN TERENA SSL CA 1 / 2 / 3 év C <Ország> ST <Állam> (opcionális) L <Szervezet székhelye> (opcionális) O <Szervezet neve> OU <Szervezeti egység neve> (opcionális) CN domain nevet tartalmaz unstructuredname domain nevet tartalmaz (opcionális) ca: nem Útvonal hosszára vonatkozó korlátozás: nincs mellékelve Digitális aláírás; Kulcs titkosítás(a0) TLS szerver autentikáció; TLS kliens autentikáció összesen legfeljebb 100 DNS név vagy IP cím r1s CRL szétosztási pont Szétosztási pont neve: Teljes név: URL=http://crl.tcs.terena.org/ssl_server.crl r1s AccessMethod=CA kibocsátók Location=http://crt.tcs.terena.org/TERENASSLCA.crt r2s AccessMethod=OCSP Location=http://ocsp.tcs.terena.org CA kulcsazonosítója KeyID Kibocsátó publikus kulcsának egyedi azonosítója Alany kulcsazonosítója Alany publikus kulcsának egyedi azonosítója Hitelesítési rend r1s Hitelesítési rend: Szabályzat azonosító=1.3.6.1.4.1.6449.1.2.2.15 16

TCS escience szerver tanúsítvány Aláíró algoritmus sha1 RSA titkosítással C NL Kiadó O TERENA CN TERENA escience SSL CA Érvényesség legfeljebb 13 hónap DC org DC terena DC tcs Alany C <Ország> O <Szervezet neve> OU <Szervezeti egység neve> (opcionális) CN domain nevet tartalmaz Alapvet megkötések (kritikus) ca: nem Útvonal hosszára vonatkozó korlátozás: nincs mellékelve Kulcshasználat (kritikus) Digitális aláírás; Kulcs titkosítás, Adattitkosítás(B0) Kiterjesztett kulcshasználat TLS szerver autentikáció; TLS kliens autentikáció Alany alternatív nevei összesen legfeljebb 100 DNS név vagy IP cím CRL szétosztási pont Kibocsátó tanúsítványának elérhet sége r1s CRL szétosztási pont Szétosztási pont neve: Teljes név: URL=http://crl.tcs.terena.org/ssl_server.crl r1s AccessMethod=CA kibocsátók Location=http://crt.tcs.terena.org/TERENAeScienceSSLCA.crt r2s AccessMethod=OCSP Location=http://ocsp.tcs.terena.org CA kulcsazonosítója KeyID Kibocsátó publikus kulcsának egyedi azonosítója Alany kulcsazonosítója Alany publikus kulcsának egyedi azonosítója Hitelesítési rend r1s Hitelesítési rend: Szabályzat azonosító=1.3.6.1.4.1.6449.1.2.2.15 r2s Hitelesítési rend: Szabályzat azonosító=1.2.840.113612.5.2.2.1 2.12. TCS CRL prol A TCS CRL prol az alábbi táblázatban található: Verzió [2. verzió] Kibocsátó neve Kibocsátó Subject DN-je Jelen frissítés Kiadás dátuma Következ frisstítés Kiadás dátuma + 96 óra Visszavont tanúsítványok CA kulcsazonosítója CRL szám CRL bejegyzések Tanúsítvány sorszáma Visszavonás ideje Kibocsátó publikus kulcsának azonosítója Monoton növekv sorszám [Tanúsítvány sorszám] [Visszavonás ideje] 17

3. Szervezet TERENA Hollandiában m ködik, PKI infrastruktúráját pedig Comodo hosztolja az Egyesült Államokban. Minden telephely biztonsági házirendnek megfelelve üzemel, mely házirendet úgy tervezték, hogy annak betartása a lehet ségekhez mérten elriasztó legyen, illetve tegye felfedezhet vé és megakadályozhatóvá a CA vonatkozó létesítményeihez való illetéktelen logikai- vagy zikai hozzáférést. A CPS ezen fejezetében a használatban lév biztonsági házirend, a zikai- és logikai hozzáférést szabályozó mechanizmusok, szolgáltatás szintek és a munkatársakra vonatkozó szabályok kerülnek tárgyalásra, melyek együttesen a CA m veletek hiteles és megbízható m ködését teszik lehet vé. 3.1. Jelen CPS-nek való megfelel ség TERENA és a TCS RA-k a TCS szolgáltatások nyújtását jelen CPS-sel illetve egyéb, kapcsolódó szerz désekben vállalt kötelezettségeikkel összhangban végzik. 3.2. CA tevékenységek beszüntetése A CA tevékenységek bármilyen okból történ beszüntetésér l TERENA kell id ben tájékoztatást ad és gondoskodik a felel sségek jogutódnak való átadásáról, valamint a nyilvántartások karbantartásáról és javításáról. Saját CA tevékenységének beszüntetése el tt, amennyiben lehetséges, TERENA a következ lépéseket teszi meg: Az érvényes tanúsítvánnyal rendelkez El zet ket az esedékesség el tt kilencven (90) nappal értesíti azon szándékáról, hogy felhagy CA-ként betöltött szerepével. A 90 napos értesítési id szak végén, El zet külön hozzájárulásának kérése nélkül, visszavonja a még vissza nem vont, vagy le nem járt tanúsítványokat. Idejében értesít minden érintett El zet t a visszavonás megtörténtér l. A CPS-ben foglaltaknak megfelel en megteszi a szükséges el készületeket nyilvántartásainak meg rzése érdekében. Fenntartja a jogot, hogy el készítse a tanúsítványok újrakiadását egy minden szükséges engedéllyel rendelkez, és az el írt szabályozásoknak megfelel utód CA-val, melynek eljárásai legalább olyan biztonságosak, mint TCS-é. Az ebben a fejezetben leírt követelmények szerz dést l függ en bizonyos mértékig változhatnak, amennyiben a változtatások csak a szerz d feleket érintik. 3.3. A nyilvántartások módja TERENA a tanúsítványkérelem kapcsán megkövetelheti az El zet kt l az általa szükségesnek tartott dokumentumok benyújtását. Ilyen esetekben TERENA, az iratok meg rzésével kapcsolatban a CPS 3.4 fejezetében ismertetett gyakorlatnak megfelel en, gondoskodik ezen iratok meg rzésér l. A TCS Regisztrációs Szervezetek, hitelesítésük és TCS Regisztrációs Szervezetként történ elismerésük el tt be kell nyújtsák a megfelel iratokat. TCS Regisztrációs Szervezetként, a tanúsítványkérelem kapcsán, az RA-k dokumentumokat kérhetnek be az El zet kt l. Ilyen esetekben az RA-k, az iratok meg rzésével kapcsolatban a CPS 3.4 fejezetében ismertetett gyakorlattal összhangban, kötelesek gondoskodni ezen iratok meg rzésér l. 3.4. Nyilvántartások meg rzési ideje TERENA vagy az RA-k a TCS digitális tanúsítványokkal kapcsolatos nyilvántartásokat és az azok alapjául szolgáló iratokat a tanúsítványok lejárta vagy visszavonása után legalább 3 évig meg rzik. A tanúsítványok 18

másolatai az állapotukra (mint pl. lejárt vagy visszavont) való tekintet nélkül meg rzésre kerülnek. A nyilvántartások elektronikus-, papír alapú- vagy más, a TERENA által alkalmasnak vélt formában nyerhet k vissza. 3.5. Alaptevékenységek naplózása TERENA, Comodo vagy a megfelel RA, az alaptevékenységek során el forduló alábbi eseményekr l, audit célokra, elektronikus vagy manuális naplózást tart fenn. CA Operátor naplói napi rendszerességgel hordozható tárolóegységre kerülnek mentésre, a tárolót pedig egy küls, biztonságos helyszínen tárolják. Az adathordozókat kizárólag Comodo munkatársai vehetik fel az adatközpontban tett látogatásukkor; amikor pedig azok nem az adatközpontban vannak, akkor vagy a fejleszt i telephely egy biztonságos, elzárt irodájában, vagy küls helyszínen, egy biztonságos tárolóeszközben tartják ket. Az adathordozók minden mozgása audit naplóban rögzítésre kerül. A naplók archiválását a rendszergazda, míg az eseménynaplók áttekintését CA menedzsment végzi heti rendszerességgel. Mind az aktuális, mind az archivált naplók olyan formában kerülnek tárolása, mely megakadályozza az illetéktelen módosítást, cserét vagy törlést. Az adathordozó, élettartamának lejártakor, egy harmadik fél biztonságos adatmegsemmisít eszközével törlésre, míg a megsemmisítésr l kiállított tanúsítvány archiválásra kerül. Az RA-k naplóit rendszeresen mentik és biztonságos helyszínen tárolják. Minden napló tartalmazza az alábbi részleteket: bejegyzés ideje (dátum és id ) bejegyzés azonosító- vagy sorszáma bejegyzést felvev entitás azonosítója 3.5.1. CA- és tanúsítvány életciklus kezelése CA root aláíró kulcs m veletek, beleértve a kulcsgenerálást, mentést, helyreállítást és megsemmisítést; Comodo hatáskörébe tartoznak El zet i tanúsítvány életciklusának kezelése, beleértve a sikeres- és sikertelen kérelmeket, a tanúsítvány kibocsátást, a tanúsítványok újrakiadását és meghosszabbítását; az eseményhez köthet RA hatáskörébe tartozik El zet i tanúsítvány visszavonására irányuló kérelmek, beleértve a visszavonás okát; az eseményhez köthet RA hatáskörébe tartoznak El zet kapcsolataiban bekövetkezett olyan változások, melyek egy meglév tanúsítvány érvényességének elvesztéséhez vezetnek; az eseményhez köthet RA hatáskörébe tartoznak Tanúsítvány visszavonási listák frissítései, létrehozása és nyilvánosságra hozatala; Comodo hatáskörébe tartoznak Kulcsok, eszközök és kulcsokat tartalmazó adattárolók letétbe helyezése; Comodo hatáskörébe tartoznak Magánkulcsok kompromittálódása; Comodo hatáskörébe tartozik 3.5.2. Biztonsággal kapcsolatos események Rendszerleállás, szoftverhibák és hardver meghibásodások; Comodo hatáskörébe tartoznak Comodo munkatársak által elvégzett CA rendszer m veletek, beleértve a szoftverek frissítését, hardvercseréket és -fejlesztéseket; Comodo hatáskörébe tartoznak Kriptográai hardver biztonsági modul események, úgy, mint a használat, deinstalláció, szervíz vagy javítás illetve üzemb l való kivonás; Comodo hatáskörébe tartoznak TCS-hez való sikeres és sikertelen hozzáférési kísérletek; az elért rendszer üzemeltet jének hatáskörébe tartozik Biztonságos létesítmény látogatóinak be- és kilépése; Comodo hatáskörébe tartozik 19