Certificate Policy DigiNotar Gekwalificeerd 'CP DigiNotar gekwalificeerd (2.16.528.1.1001.1.2). november 2003 versie 1.0
Gebaseerd op: ETSI TS 101 456 “Policy requirements for certification authorities issuing qualified certificates”
Inhoudsopgave 1.
Introductie ......................................................................................................... 4 1.1
1.1.1
Doel van de Certificate Policy ............................................................ 4
1.1.2
Verhouding tussen CP en CPS (Certificate Practice Statement) .......... 4
1.1.3
Toepasselijk recht, vertalingen............................................................ 4
1.1.4
Definities en afkortingen .................................................................... 5
1.2
Verwijzingen naar dit CP. .......................................................................... 5
1.3
Gebruikersgemeenschap en toepassingsgebied ........................................... 6
1.3.1
Gebruikersgemeenschap ..................................................................... 6
1.3.2
Toepassingsgebied.............................................................................. 6
1.4 2.
Achtergrond ............................................................................................... 4
Contactgegevens ........................................................................................ 7
Algemene Bepalingen ........................................................................................ 8 2.1
Verplichtingen............................................................................................ 8
2.1.1
Verplichtingen van de CSP ................................................................. 8
2.1.2
Verplichtingen van de Cliënt (abonnee). ............................................. 8
2.1.3
Verplichtingen van de vertrouwende partijen. ..................................... 9
2.2
Aansprakelijkheid ...................................................................................... 9
2.2.1
Aansprakelijkheid van DigiNotar........................................................ 9
2.2.2
Beperkingen van de aansprakelijkheid jegens de vertrouwende partij 10
2.3
Financiële verantwoordelijkheid en aansprakelijkheid .............................. 10
2.4
Interpretatie en handhaving ...................................................................... 10
2.4.1
Van toepassing zijnde wetgeving ...................................................... 10
2.4.2
Geldigheid van toepasselijkheid........................................................ 11
2.4.3
Geschillenbeslechting ....................................................................... 11
2.5
Tarieven ................................................................................................... 11
2.6
Publicatie en elektronische opslagplaats ................................................... 11
2.6.1
Publicatie van informatie .................................................................. 11
2.6.2
Publicatie van certificaatinformatie................................................... 12
2.6.3
Frequentie van publicatie.................................................................. 12
2.6.4
Toegang tot gepubliceerde informatie............................................... 12
2.6.5
Elektronische opslagplaats................................................................ 12
2.6.6
Conformiteit ..................................................................................... 13
2.7
Vertrouwelijkheid .................................................................................... 13
©DigiNotar 2003
2
3.
Identificatie en authenticatie............................................................................. 14 3.1
3.1.1
Uniciteit van namen.......................................................................... 14
3.1.2
Erkenning, authenticatie en de rol van handelsmerken ...................... 14
3.1.3
Methode om bezit van de private sleutel aan te tonen........................ 14
3.1.4
Authenticatie van persoonlijke identiteit ........................................... 14
3.1.5
Verbondenheid van de certificaathouder met een organisatie ............ 15
3.1.6
Intrekkingsverzoeken........................................................................ 15
3.2 4.
5.
6.
Initiële registratie ..................................................................................... 14
Routinematige vernieuwing van het certificaat ......................................... 15
Operationele eisen............................................................................................ 16 4.1
Uitgifte van certificaten............................................................................ 16
4.2
Intrekking van certificaten........................................................................ 16
4.3
CRL-uitgiftefrequentie ............................................................................. 16
4.4
Archivering van documenten.................................................................... 17
Technische beveiliging..................................................................................... 18 5.1
Genereren van sleutelparen....................................................................... 18
5.2
Overdracht van private sleutel en SSCD aan certificaathouder.................. 18
5.3
Escrow van private sleutel........................................................................ 18
5.4
Activeringsgegevens ................................................................................ 18
Specificatie van onderhoud op CP.................................................................... 19 6.1
Wijzigingsprocedure voor de CP .............................................................. 19
6.1.1
Onderdelen die kunnen wijzigen zonder bekendmaking.................... 19
6.1.2
Onderdelen die kunnen wijzigen waarbij bekendmaking verplicht is. 19
6.1.3
Procedure voor het bekendmaken van wijzigingen............................ 19
6.1.4
Procedure voor het geven van commentaar ....................................... 19
©DigiNotar 2003
3
1.
Introductie
1.1
Achtergrond
1.1.1 Doel van de Certificate Policy De onderhavige CP is van toepassing op alle gekwalificeerde certificaten die binnen de PKI van DigiNotar worden uitgegeven. Voor zover hierna niet staat aangegeven dat bepaalde eisen slechts gelden voor bepaalde soorten of typen certificaten, gelden de bepalingen voor alle soorten en typen certificaten. De definitie van een CP is als volgt: een benoemde set van regels die de toepasselijkheid van een certificaat voor een bepaald publiek en/of categorie van toepassingen met gelijke beveiligingseisen beschrijft. De CP beschrijft onder welke voorwaarden en waarvoor een bepaald type certificaat mag worden uitgegeven, beheerd en gebruikt. Het stelt daarmee eisen aan de betrokken partijen en waarborgt daardoor het door DigiNotar vastgestelde betrouwbaarheidsniveau. Binnen de hiërarchische architectuur van de PKI van DigiNotar casu quo de hiërarchische architectuur waarbinnen de Root van DigiNotar zich bevindt kunnen op verschillende niveaus certificaten worden uitgegeven. Dit document heeft uitsluitend betrekking op certificaten, die rechtstreeks vanuit een DigiNotar Root aan certificaathouders worden uitgegeven. DigiNotar onderscheidt in beginsel twee typen eindgebruikercertificaten. Deze typen hebben ieder een eigen functie. Gekwalificeerde certificaten hebben steeds uitsluitend als functie de elektronische handtekening en mogen ook alleen dáárvoor worden gebruikt. De twee typen certificaten: 1. een certificaat voor de elektronische handtekening; 2. een certificaat voor vertrouwelijkheid. De verschillende typen certificaten kunnen voor een bepaald publiek en/of categorie van toepassingen worden gebruikt. DigiNotar hanteert hiervoor verschillende soorten certificaten, elk met hun eigen benaming en beveiligings-/betrouwbaarheidsniveau. 1.1.2 Verhouding tussen CP en CPS (Certificate Practice Statement) Het CP beschrijft welke eisen er aan uitgifte en gebruik van een bepaald certificaat worden gesteld. Het CPS beschrijft op welke wijze DigiNotar aan deze eisen tegemoet komt. 1.1.3 Toepasselijk recht, vertalingen Op dit CP en een daarop gebaseerd CPS is Nederlands Recht van toepassing voor zover niet uitdrukkelijk anders is bepaald. ©DigiNotar 2003
4
Bij verschil van inzicht omtrent de uitleg van een bepaling ingeval dit document of een daarop gebaseerd CPS in een andere taal is vertaald prevaleert de Nederlandse tekst van het betreffende document. 1.1.4 Definities en afkortingen De in dit CP gehanteerde begrippen en afkortingen worden verklaard in de bij dit document behorende “Bijlage bij het CP DigiNotar, Gekwalificeerd (2.16.528.1.1001.1.1): Definities en afkortingen”. 1.2
Verwijzingen naar dit CP. De twee typen certificaten, die onder de Root van DigiNotar worden uitgegeven hebben per soort hetzelfde betrouwbaarheidsniveau. Het betrouwbaarheidsniveau voor gekwalificeerde certificaten voldoet aan de normen gesteld in de “Policy requirements for certification authorities issuing qualified certificates” (ETSI 101 456 V1.2.1 (2002-04). Voor zover in dit CP of het betreffende CPS voor gekwalificeerde certificaten een lagere norm zou worden gehanteerd als volgt uit voormelde ETSI norm, prevaleert het bepaalde in de ETSI norm. In gekwalificeerde certificaten is een OID opgenomen waarin wordt verwezen naar het van toepassing zijnde CP aan welker voorwaarden dient te worden voldaan. De OID dient te worden opgenomen in het van toepassing zijnde CPS. Het OID van het onderhavige CP is 2.16.528.1.1001.1.2. De OID is als volgt opgebouwd: De basis is het nummer dat door het Normaliseringsinstituut aan DigiNotar is toegekend: Categorie
Nummer
JOINT-ISO-ITU-T
2
Country
16
Netherlands
528
Organisation
1
DigiNotar
1001
Dit leidt dus tot het volgende publieke OID voor DigiNotar: 2.16.528.1.1001 Het eerst daarop volgende nummer geeft aan dat het een Certificaatpolicy betreft. Het daarop volgende nummer geeft aan welk CP op het certificaat van toepassing is.
©DigiNotar 2003
5
1.3
Gebruikersgemeenschap en toepassingsgebied
1.3.1
Gebruikersgemeenschap De eindgebruikers worden onderscheiden in Cliënten, ook wel abonnees genoemd, certificaathouders, ook wel gebruikers genoemd en vertrouwende partijen.
-
een cliënt (abonnee) is een natuurlijk persoon of een houder van een organisatorische identiteit, die zich bij DigiNotar aanmeldt om de publieke sleutels van door de cliënt vertegenwoordigde certificaathouders te laten certificeren in publieke certificaten. De cliënt gaat hiervoor een contractuele relatie aan met DigiNotar, dan wel een bij DigiNotar aangesloten RA.;
-
een certificaathouder is een natuurlijke persoon, ten behoeve van wie een certificaat is uitgegeven, wiens identiteit kan worden vastgesteld met behulp van het certificaat en die het certificaat daadwerkelijk en exclusief kan gebruiken. De certificaathouder kan zelf de cliënt (abonnee) zijn, dan wel onderdeel zijn van een organisatorische entiteit waarvoor een cliënt de contracterende partij is;
-
Een vertrouwende partij is iedere natuurlijke of rechtspersoon die ontvanger is van een certificaat, uitgegeven onder verantwoordelijkheid van DigiNotar, die handelt in gerechtvaardigd vertrouwen op dat certificaat.
1.3.2 Toepassingsgebied Het gebruik van certificaten, uitgegeven onder deze CP is niet beperkt, behoudens voor zover zulks blijkt uit het soort certificaat en de daarvoor bij of krachtens dit CP gestelde voorwaarden, dan wel dit blijkt uit de inhoud van het certificaat. Het vorenstaande laat onverlet de in het rechtsverkeer overigens geldende bepalingen en beperkingen. Gekwalificeerde handtekeningcertificaten die onder deze CP worden uitgegeven met een SSCD kunnen worden gebruikt om elektronische handtekeningen te ondersteunen, die “voldoen aan vereisten van een handtekening in relatie tot gegevens in elektronische vorm, op dezelfde wijze als een handgeschreven handtekening voldoet aan die vereisten in relatie tot gegevens op papier zoals wordt aangegeven in artikel 5.1 van de richtlijn nr. 1999/93/EG. Overige gekwalificeerde handtekeningcertificaten die onder deze CP worden uitgegeven kunnen worden gebruikt om elektronische handtekeningen te ondersteunen, die geen juridische effectiviteit kunnen worden ontzegd als wordt aangegeven in artikel 5.2 van de richtlijn nr. 1999/93/EG. Vertrouwelijkheidcertificaten, die onder deze CP worden uitgegeven, kunnen worden gebruikt voor het beschermen van de vertrouwelijkheid van gegevens, die worden uitgewisseld en/of opgeslagen in elektronische vorm. Dit betreft zowel de uitwisseling tussen personen onderling als tussen personen en geautomatiseerde middelen.
©DigiNotar 2003
6
1.4
Contactgegevens DigiNotar is verantwoordelijk voor deze CP. DigiNotar B.V. (Kamer van Koophandel nummer 34104947) Vondellaan 8 c 1942 LJ Beverwijk
[email protected] www.diginotar.nl
©DigiNotar 2003
7
2.
Algemene Bepalingen
2.1
Verplichtingen
2.1.1 Verplichtingen van de CSP Diginotar, als zijnde de CSP voor het afgeven van gekwalificeerde certificaten draagt er zorg voor en is eindverantwoordelijke voor het volgen van de juiste procedures bij de afgifte van gekwalificeerde certificaten onder het onderhavige CP en het betreffende CPS, ook voor zover daarbij gebruik gemaakt wordt van andere, op zich zelfstandige, entiteiten. Het vorenstaande laat onverlet de eigen verantwoordelijkheid van laatstbedoelde entiteiten. DigiNotar is verantwoordelijk voor de publicatie van openbaarmaking van relevante procedures van alle betrokken partijen. Alle in het proces van uitgifte van gekwalificeerde certificaten betrokken partijen zijn gehouden zich aan de richtlijnen van DigiNotar te conformeren. DigiNotar zal voorgenomen wijzigingen in een van toepassing zijnd CPS tijdig aankondigen en bij inwerkingtreding onmiddellijk ter beschikking stellen. 2.1.2 Verplichtingen van de Cliënt (abonnee). De cliënt is verplicht te garanderen dat de certificaathouder zich aan de volgende verplichtingen zal houden: -
het verstrekken van juiste en volledige informatie aan DigiNotar casu quo de betreffende RA in overeenstemming met de vereisten van deze CP en het betreffende CPS met name voor wat betreft de registratie;
-
het handtekening - sleutelpaar (gecertificeerd met een gekwalificeerd handtekeningcertificaat) alleen te gebruiken met inachtneming van de beperkingen die aan de cliënt zijn kenbaar gemaakt;
-
het in acht nemen van redelijke zorg om te voorkomen dat de private sleutel van de certificaathouder onbevoegd wordt gebruikt;
-
het zo snel mogelijk als redelijkerwijs verwacht mag worden op de hoogte brengen van DigiNotar als zich een onregelmatigheid voordoet, tot aan het einde van de in het certificaat aangegeven geldigheidsduur. Onregelmatigheden zijn:
-
de private sleutel van de certificaathouder is verloren, gestolen, mogelijkerwijs aangetast; of
-
de controle over de private sleutel van de certificaathouder is verloren gegaan door aantasting van activeringsgegevens (bijvoorbeeld PIN-code) of door andere oorzaken; en/of
-
onnauwkeurigheid of wijzigingen in de inhoud van het certificaat, zoals kenbaar gemaakt aan of bekend bij de cliënt of de certificaathouder.
©DigiNotar 2003
8
De certificaathouder dient (voor zover van toepassing) met het SSCD waarop de private sleutel(s) wordt bewaard zorgvuldig om te gaan, zoals men ook met waardevolle persoonlijke eigendommen zorgvuldig omgaat , zoals een creditcard of paspoort. Evenzeer geldt voor andere opslagmedia waarop de private sleutel(s) op mochten worden bewaard. Voorzover de certificaathouder gebruik maakt van een PIN-code om toegang te krijgen tot de certificaten, dient hij deze gescheiden van de drager van het sleutelmateriaal te bewaren. De certificaathouder mag het gekwalificeerd certificaat uitgegeven op SSCD alleen gebruiken ten behoeve van geavanceerde elektronische handtekeningen. 2.1.3 Verplichtingen van de vertrouwende partijen. Vertrouwende partijen, dienen, indien deze in redelijkheid willen kunnen vertrouwen op een certificaat: -
de geldigheid, schorsing of intrekking van het certificaat door middel van de meest actuele informatie over intrekking en/of schorsing, zoals door DigiNotar onder meer via haar Website (www.diginotar.nl) beschikbaar is gesteld, te verifiëren, waarbij een certificaat eerst geldt als ingetrokken of geschorst zodra de informatie daaromtrent is gepubliceerd;
-
kennis te nemen van alle beperkingen betreffende het gebruik van het certificaat, waarvan de vertrouwende partij op de hoogte is gebracht, hetzij in het certificaat hetzij in de voorwaarden, die beschikbaar zijn gesteld,
-
alle overige voorzorgsmaatregelen te nemen die in overeenkomsten of elders zijn voorgeschreven.
2.2
Aansprakelijkheid
2.2.1 Aansprakelijkheid van DigiNotar In het kader van de afgifte van gekwalificeerde certificaten stelt DigiNotar zich aansprakelijk conform de eisen van de richtlijn Elektronische handtekeningen, 1999/93/EG. Dit houdt in dat DigiNotar in ieder geval aansprakelijk is voor schade die diensten of natuurlijke of rechtspersonen, die in redelijkheid op dit certificaat vertrouwen, ondervinden, in samenhang met: -
de juistheid, op het tijdstip van afgifte, van alle gegevens in het gekwalificeerde certificaat en de opneming in het gekwalificeerde certificaat van alle voor een dergelijk certificaat voorgeschreven gegevens;
-
de garantie dat de in het gekwalificeerde certificaat geïdentificeerde ondertekenaar, op het tijdstip van de afgifte van het certificaat, houder was van de gegevens voor het aanmaken van de handtekening, die met de in het certificaat gegeven of geïdentificeerde gegevens voor het verifiëren van de handtekening overeenstemmen;
©DigiNotar 2003
9
-
de garantie dat de gegevens voor het aanmaken van de handtekening en die voor het verifiëren van de handtekening – voor zover zij beide door DigiNotar zijn gegenereerd - complementair kunnen worden gebruikt; een en ander tenzij DigiNotar bewijst dat zij niet nalatig heeft gehandeld. DigiNotar is aansprakelijk voor de schade die bij diensten of natuurlijke of rechtspersonen die in redelijkheid op het certificaat hebben vertrouwd, is ontstaan doordat de intrekking van het certificaat niet werd verwerkt binnen de daarvoor toegestane periode, waarbij inbegrepen het bijwerken en publiceren van certificate status information. tenzij DigiNotar bewijst dat zij niet nalatig heeft gehandeld, waarbij geldt dat degene die zich beroept op niet (tijdige) intrekking aannemelijk dient te maken dat er een verzoek tot intrekking is gedaan en op welk tijdstip. DigiNotar is niet aansprakelijk voor schade, die voortvloeit uit gebruik van een gekwalificeerd certificaat, waarbij de op het certificaat aangegeven beperkingen worden overschreden. DigiNotar sluit alle aansprakelijkheid uit voor schade indien het certificaat niet conform het beschreven toepassingsgebied is/wordt gebruikt.
2.2.2 Beperkingen van de aansprakelijkheid jegens de vertrouwende partij Voorzover niet expliciet anders overeengekomen stelt DigiNotar geen beperkingen aan de waarde van de transacties waarvoor gekwalificeerde certificaten kunnen worden gebruikt. Behoudens het overigens in dit CP en het betreffende CPS gestelde aanvaardt DigiNotar aansprakelijkheid voor zowel directe als indirecte schade per schadeveroorzakende gebeurtenis tot een bedrag van maximaal Een Miljoen Euro (EUR 1.000.000,00). Het vorenstaande laat onverlet de mogelijkheden tot verhaal. 2.3
Financiële verantwoordelijkheid en aansprakelijkheid Diginotar heeft adequate verzekeringen gesloten ter dekking van haar aansprakelijkheid.
2.4
Interpretatie en handhaving
2.4.1 Van toepassing zijnde wetgeving Op deze CP en ieder daarop gebaseerd CPS is het Nederlandse recht van toepassing voor zover in het CPS daarvan niet is afgeweken.
©DigiNotar 2003
10
2.4.2 Geldigheid van toepasselijkheid Als één of meerdere bepalingen van deze CP bij gerechtelijke uitspraak ongeldig of anderszins niet van toepassing wordt verklaard, laat dit de geldigheid en toepasselijkheid van alle overige bepalingen onverlet. 2.4.3 Geschillenbeslechting Voorzover in het betreffende CPS niet anders is beschreven kunnen geschillen worden voorgelegd conform de procedure van de Koninklijke Notariële Beroepsorganisatie. Dit laat onverlet de mogelijkheid het geschil voor te leggen aan de gewone rechter. 2.5
Tarieven Tarieven voor de te verrichten diensten kunnen worden opgevraagd bij DigiNotar.
2.6
Publicatie en elektronische opslagplaats DigiNotar draagt er zorg voor dat dit CP en het betreffende CPS vierentwintig uur per dag, zeven dagen per week via de Website van DigiNotar beschikbaar is behoudens in geval van systeemdefecten, service-activiteiten, of andere factoren die buiten het bereik van DigiNotar liggen. In de laatste gevallen maakt DigiNotar zich er sterk voor om ervoor te zorgen dat de informatie niet langer niet beschikbaar is dan in het betreffende CPS is vermeld..
2.6.1 Publicatie van informatie De onder dit CP uitgegeven gekwalificeerde certificaten gelden als uitgegeven aan het publiek. Indien voor het gebruik van een certificaat een SSCD is vereist is dit kenbaar in het certificaat; in het CPS staat hoe dit kenbaar is; In het CPS staat bovendien vermeld: -
iedere beperking van het gebruik van het certificaat;
-
de verplichtingen van de abonnee, met inbegrip van het feit of gebruik van een SSCD vereist is;
-
informatie over hoe het certificaat gevalideerd kan worden, met inbegrip van de eisen met betrekking tot het controleren van de revocation status van het certificaat, zodanig dat de vertrouwende partij beschouwd kan worden "in redelijkheid te vertrouwen" op het certificaat;
-
beperkingen van de aansprakelijkheid, met inbegrip van de (gebruiks)doelen, waarvoor DigiNotar casu quo de RA aansprakelijkheid aanvaardt of uitsluit;
-
de duur van de periode waarin de registratiegegevens worden bewaard;
©DigiNotar 2003
11
-
de duur van de periode waarin de door DigiNotar bijgehouden transacties worden bewaard;
-
procedures voor klachten en de regeling van geschillen;
-
het toepasselijk recht; Bij een bepaald certificaat moet onmiddellijk duidelijk zijn welke voorwaarden van toepassing zijn. In het CPS dienen de procedures voor de intrekking van certificaten te worden opgenomen, met inbegrip van:
-
wie intrekkingverzoeken kunnen indienen;
-
hoe zij moeten worden ingediend;
-
eisen aan daarop volgende bevestiging van intrekkingrapportages en verzoeken;
-
het mechanisme dat wordt gebruikt voor het verspreiden van revocation status information.
-
of- en om welke redenen certificaten kunnen worden geschorst; Als enige voorwaarde van de uitgifte van certificaten door DigiNotar verandert, zal dit doorgegeven worden aan de Cliënt (abonnee) en moet deze hiermee instemmen conform de eerder met de cliënt gesloten overeenkomst, bij gebreke waarvan het certificaat zal worden ingetrokken op de in het CPS bepaalde wijze en met inachtneming van de met de Cliënt gesloten overeenkomst. De doorgifte aan de Cliënt kan op elektronische wijze geschieden.
2.6.2 Publicatie van certificaatinformatie Eenmaal gegenereerd, dient het volledige en correcte certificaat beschikbaar te zijn voor de abonnee of certificaathouder voor wie het certificaat wordt uitgegeven. 2.6.3 Frequentie van publicatie Publicatie van CRL-informatie zal plaatsvinden overeenkomstig de eisen, die daaraan in artikel 4.3. zijn gesteld. 2.6.4 Toegang tot gepubliceerde informatie DigiNotar draagt er zorg voor dat deze CP en het betreffende CPS voor een ieder raadpleegbaar te zijn. DigiNotar draagt er zorg voor dat revocation status information openbaar en internationaal beschikbaar is. 2.6.5 Elektronische opslagplaats Het is verplicht dat er een elektronische opslagplaats is waar de informatie zoals genoemd in 2.6.1 wordt gepubliceerd.
©DigiNotar 2003
12
Deze opslagplaats wordt beheerd door DigiNotar tenzij uit het betreffende CPS anders blijkt. 2.6.6 Conformiteit Teneinde verzekerd te zijn van een adequaat niveau van certificatiediensten, moet het conform zijn van de dienstverlening van DigiNotar en de door haar ingeschakelde entiteiten voldoen aan de eisen van de “Policy requirements for certification authorities issuing qualified certificates” (ETSI 101 456 V1.2.1 (2002-04), de Richtlijn nr 1999/93/EG en de Nederlandse wetgeving. DigiNotar zal zich hiertoe jaarlijks laten beoordelen door een certificerende instelling die kan aantonen te voldoen aan de eisen van betrouwbaarheid en bekwaamheid als gesteld in de standaard EN 45011 of EN 45012. 2.7
Vertrouwelijkheid De informatie, die gebruikers aan DigiNotar verstrekken, zal niet zonder de toestemming van de eindgebruiker, een rechterlijk bevel of een andere wettelijke grondslag worden onthuld. DigiNotar neemt hiertoe beschermingsmaatregelen. Certificaten zijn alleen opvraagbaar in die gevallen waarin de toestemming van de certificaathouder is verkregen. DigiNotar draagt er zorg voor dat de vereisten van de geldende privacywetgeving en -regelgeving worden nageleefd. Records met betrekking tot certificaten dienen ter beschikking te worden gesteld indien dit is vereist voor het leveren van bewijs van certificatie in een juridische procedure. De certificaathouder, en binnen de beperkingen van privacy wet- en regelgeving, de cliënt (abonnee), kunnen op verzoek registratie- en andere informatie, die op de certificaathouder van toepassing is ter inzage krijgen op in het betreffende CPS bepaalde voorwaarden. De inhoud van het archief van DigiNotar zal niet in zijn geheel worden vrijgegeven, tenzij de wet anders voorschrijft.
©DigiNotar 2003
13
3.
Identificatie en authenticatie
3.1
Initiële registratie
3.1.1 Uniciteit van namen DigiNotar ziet er gedurende zijn levensduur op toe dat het unieke karakter van de Distinguished Name die aan de certificaathouder van een gekwalificeerd certificaat is gegeven binnen het domein van gekwalificeerde certificaten van DigiNotar blijft gehandhaafd (dat wil zeggen dat gedurende het bestaan van DigiNotar een Distinguished Name die is gebruikt in een uitgegeven gekwalificeerd certificaat nooit kan worden toegewezen aan een gekwalificeerd certificaat voor een andere entiteit). 3.1.2 Erkenning, authenticatie en de rol van handelsmerken Indien een organisatie voorkomt in een erkend register wordt in het certificaat de naam voor de organisatie gebruikt zoals deze voorkomt in het uittreksel van het betreffende register. 3.1.3 Methode om bezit van de private sleutel aan te tonen Als het sleutelpaar van de certificaathouder niet door DigiNotar is gegenereerd, dient er in de aanvraagprocedure voor het certificaat op te worden toegezien dat de certificaathouder in bezit is van de private sleutel, die behoort bij de voor certificatie aangeboden publieke sleutel. Om DigiNotar in staat te stellen er zeker van te zijn dat de private sleutel daadwerkelijk in een SSCD is geplaatst, indien zulks in het betreffende geval vereist is, heeft DigiNotar het recht er in de aanvraagprocedure tevens op toe te zien dat het sleutelpaar ook werkelijk door een SSCD is gegenereerd. 3.1.4 Authenticatie van persoonlijke identiteit Het certificaathouder-registratieproces dient te worden geïnitieerd door of namens de certificaathouder of door de cliënt (abonnee). Voordat de contractuele relatie met een cliënt wordt aangegaan, stelt DigiNotar de cliënt op de hoogte van de voorwaarden betreffende het gebruik van het certificaat. DigiNotar en de betreffende bij DigiNotar aangesloten RA garanderen dat de certificaathouders op de juiste wijze worden geïdentificeerd en geauthenticeerd en dat de certificaataanvragen van de certificaathouders volledig, correct en bevoegd zijn gegeven. DigiNotar controleert overeenkomstig de Nederlandse wet- en regelgeving de identiteit en, indien van toepassing, specifieke eigenschappen van de persoon aan wie certificaten worden uitgegeven. Bewijs van de identiteit wordt gecontroleerd aan de hand van fysieke verschijning van de persoon zelf, hetzij direct, hetzij indirect met behulp van middelen waarmee dezelfde zekerheid kan worden verkregen als bij persoonlijke aanwezigheid. Het bewijs van identiteit kan op papier dan wel langs elektronische weg worden aangeleverd.
©DigiNotar 2003
14
Als de certificaathouder een persoon is van wie de identiteit dient vastgesteld te worden in samenhang met een rechtspersoon of een andere organisatorische entiteit, dient bewijs te worden overlegd van: •
volledige naam (met inbegrip van achternaam en voorna(a)m(en) van de certificaathouder;
•
geboortedatum en -plaats, een nationaal erkend registratienummer, of andere eigenschappen van de certificaathouder die kunnen worden gebruikt om, voor zover mogelijk, de persoon van andere personen met dezelfde naam te kunnen onderscheiden;
•
bewijs dat de certificaathouder is verbonden aan de rechtspersoon of andere organisatorische entiteit
De cliënt (abonnee) dient een fysiek adres op te geven of andere aanduidingen die aangeven hoe de abonnee kan worden bereikt. 3.1.5 Verbondenheid van de certificaathouder met een organisatie De cliënt, zowel als de certificaathouder heeft de verplichting om indien er zich relevante wijzigingen voordoen in de relatie tussen Cliënt en certificaathouder, deze onmiddellijk door te geven aan DigiNotar door middel van een intrekkingverzoek. Hierbij is bijvoorbeeld te denken aan beëindiging van het dienstverband of schorsing. Uit het niet intrekken voortvloeiende gevolgen komen geheel voor rekening van de cliënt en certificaathouder. 3.1.6 Intrekkingsverzoeken Verzoeken en rapportages met betrekking tot intrekking (bijvoorbeeld ten gevolge van aantasting van de private sleutel van de certificaathouder, overlijden van de certificaathouder, onvoorziene beëindiging van de toestemming of zakelijke functie van de cliënt of certificaathouder, schending van contractuele verplichtingen) worden direct bij ontvangst in behandeling genomen. Verzoeken en rapportages met betrekking tot intrekking worden gecontroleerd op echtheid en er wordt gecontroleerd of zij uit een geautoriseerde bron afkomstig zijn. Zulke rapportages en verzoeken worden bevestigd, zoals aangegeven in het betreffende CPS. 3.2
Routinematige vernieuwing van het certificaat DigiNotar draagt er zorg voor dat aanvragen voor certificaten uitgegeven aan een certificaathouder, die al eerder is geregistreerd, volledig juist en naar behoren geautoriseerd zijn.
©DigiNotar 2003
15
4.
Operationele eisen
4.1
Uitgifte van certificaten DigiNotar geeft de gekwalificeerde certificaten op veilige wijze uit conform de eisen van bijlage I en II van de Richtlijn 99/93/EG ten einde de authenticiteit ervan te handhaven. De procedure voor het uitgeven van certificaten is op veilige wijze verbonden met de daarbij behorende registratieprocedure, waaronder begrepen de toelevering van publieke sleutels die door certificaathouders worden gegenereerd.
4.2
Intrekking van certificaten Als een certificaat definitief is ingetrokken, kan het niet opnieuw geldig worden verklaard. Een verzoek tot intrekking van een gekwalificeerd eindgebruikercertificaat mag worden gedaan door: -
de certificaathouder;
-
de cliënt (abonnee);
-
DigiNotar
-
De onder het betreffende CPS vallende bij DigiNotar aangesloten RA;
-
Diegene(n) die daartoe in het betreffende CPS zijn aangewezen. De revocation management services waarbij gebruik gemaakt wordt van het met het certificaat meegeleverde revocation passphrase zijn 24 uur per dag beschikbaar , 7 dagen per week. In geval van systeemdefecten, serviceactiviteiten, of andere factoren die buiten het bereik van DigiNotar liggen, zal DigiNotar al het mogelijke doen om ervoor te zorgen dat deze dienst niet langer niet beschikbaar is dan een maximale tijdsduur, zoals in het betreffende CPS is vermeld. De overige revocation management services zijn beschikbaar op dagen en tijden als in het betreffende CPS staat vermeld. De cliënt is er verantwoordelijk voor wie beschikking heeft/hebben over de Revocation Passphrase van het betreffende gekwalificeerde certificaat. De certificaathouder, en indien van toepassing, de cliënt, van een ingetrokken certificaat, zal worden geïnformeerd over de wijziging in de status van zijn Certificaat op het laatste bij DigiNotar bekende door hem aangegeven email adres.
4.3
CRL-uitgiftefrequentie Revocation status information is 24 uur per dag, 7 dagen per week beschikbaar. In geval van systeemdefecten, service-activiteiten, of andere factoren die buiten het bereik van DigiNotar liggen, zal DigiNotar al het
©DigiNotar 2003
16
mogelijke te doen om ervoor te zorgen dat deze informatie niet langer niet beschikbaar is dan een maximale tijdsduur, zoals in het betreffende CPS is vermeld. De maximale vertraging tussen de ontvangst van een intrekkingsverzoek of intrekkingsrapportage met gebruikmaking van het meegeleverde Revocation Passphrase en de wijziging van de revocation status information die voor alle vertrouwende partijen beschikbaar is, is één dag. Indien en voorzover DigiNotar gebruik maakt van CRL's of varianten daarvan (bijvoorbeeld Delta-CRL's), dan zullen deze tenminste dagelijks worden gepubliceerd en: -
iedere CRL zal een tijdstip te bevatten voor de volgende publicatie van de CRL;
-
een nieuwe CRL kan gepubliceerd worden vóór de aangegeven tijd van uitgifte van de volgende publicatie van de CRL;
-
de CRL zal ondertekend worden door DigiNotar of een daartoe door DigiNotar in het CPS aangewezen autoriteit. Een eindgebruiker die een CRL raadpleegt, dient de authenticiteit van de CRL te verifiëren door de elektronische handtekening en het bijbehorende certificatiepad te controleren.
4.4
Archivering van documenten DigiNotar casu quo de betreffende RA garanderen ieder voor zover het ieder aangaat en onverminderd het overigens in dit CP gestelde omtrent aansprakelijkheid, dat de records met betrekking tot certificaten bewaard blijven gedurende een passende periode, noodzakelijk voor het leveren van bewijs van certificatie in een rechtsgang. De periode van bewaring staat aangegeven in het CPS, doch bedraagt ten minste 7 jaar.
©DigiNotar 2003
17
5.
Technische beveiliging
5.1
Genereren van sleutelparen DigiNotar staat er voor in dat alle door haar gegenereerde sleutels van certificaathouders op een beveiligde wijze worden gegenereerd in overeenstemming met de Richtlijn 99/93 EG en ETSI TS 101456 en dat de geheimhouding van de private sleutel van de certificaathouder is gewaarborgd.
5.2
Overdracht van private sleutel en SSCD aan certificaathouder De private sleutel van de certificaathouder dient te worden geleverd aan de certificaathouder of abonnee op een zodanige wijze dat de vertrouwelijkheid van de sleutel niet kan worden aangetast en dat bij levering slechts de certificaathouder toegang heeft tot zijn private sleutel. Indien sprake is van uitgifte van een gekwalificeerd certificaat op een SSCD dient de uitgifte van de SSCD op een veilige wijze te gebeuren.
5.3
Escrow van private sleutel Escrow van het handtekeningcertificaat is niet toegestaan. Escrow van het vertrouwelijkheidcertificaat is toegestaan. Diginotar staat er voor in dat de private sleutel geheim wordt gehouden en uitsluitend ter beschikking wordt gesteld aan toepasselijk geautoriseerde personen. In het betreffende CPS wordt beschreven wie, onder welke voorwaarden, toegang tot de in escrow gehouden private sleutel van het vertrouwelijkheidcertificaat kan krijgen.
5.4
Activeringsgegevens DigiNotar verbindt activeringsgegevens aan het gebruik van het gekwalificeerd certificaat casu quo het SSCD. De activeringsgegevens (bijvoorbeeld een PIN code) worden op veilige wijze voorbereid en gedistribueerd, gescheiden van de private sleutel casu quo het SSCD, bijvoorbeeld door distributie en aflevering op verschillende momenten of via een andere route. Het gebruik van een deblokkeringscode is uitsluitend toegestaan voor zover daarbij tenminste wordt voldaan aan de betrouwbaarheidseisen, die aan het gebruik van een PIN code zijn gesteld.
©DigiNotar 2003
18
6.
Specificatie van onderhoud op CP
6.1
Wijzigingsprocedure voor de CP
6.1.1 Onderdelen die kunnen wijzigen zonder bekendmaking Wijzigingen in deze CP van redactionele aard of correcties van kennelijke schrijf en/of spelfouten kunnen zonder voorafgaande bekendmaking in werking treden. 6.1.2 Onderdelen die kunnen wijzigen waarbij bekendmaking verplicht is Bij elk wijzigingsvoorstel betreffende een onderdeel of een bepaling van deze CP dient, behoudens de in 6.1.1 genoemde gevallen, een redelijke implementatieperiode te worden opgenomen. Een wijziging van een onderdeel of een bepaling van deze CP treedt, behoudens de in 6.1.1 genoemde gevallen, niet eerder in werking dan drie maanden na de bekendmaking van deze wijziging. Een wijziging van een onderdeel of bepaling van deze CP mag in afwijking van het in de vorige volzin bepaalde één maand na de bekendmaking hiervan in werking treden als de materiële gevolgen van deze wijziging gering zijn. DigiNotar beslist zonodig of een wijziging leidt tot het toewijzen van een nieuwe OID aan de CP. 6.1.3 Procedure voor het bekendmaken van wijzigingen Wijzigingsvoorstellen die vallen onder de bepalingen van 6.1.2 worden schriftelijk en/of elektronisch aan de RA.'s, die deze CP hanteren, medegedeeld. Daarnaast zullen deze wijzigingsvoorstellen duidelijk herkenbaar en in begrijpelijke taal op de website van DigiNotar worden gepubliceerd. 6.1.4 Procedure voor het geven van commentaar Gebruikers kunnen commentaar geven op de wijzigingsvoorstellen door contact op te nemen met DigiNotar.. Hierbij geldt een reactietermijn van 45 dagen na publicatie van het wijzigingsvoorstel, voor wijzigingen met geringe materiële gevolgen geldt een reactietermijn van 15 dagen na publicatie. DigiNotar beslist op welke wijze het commentaar verwerkt zal worden.
©DigiNotar 2003
19
