Базові вимоги до випуску і управлінню публічно довірених сертифікатів DV и OV
11. Методы верификации
11.1 Авторизация
11.1.1 Авторизация Регистранта домена (Domain Name Registrant)
Для каждого Доменного имени (Fully-Qualified Domain Name - FQDN) указанного в сертификате, CA SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтвердить что
по состоянию на дату выдачи сертификата, Заказчик сертификата (претендент на получение сертификат) (Applicant) либо является Администратором доменного имени,
либо имеет контроль над Доменным именем (Fully-Qualified Domain Name - FQDN) :
Подтверждение что Заказчик сертификата (претендент на получение сертификат) (Applicant) зарегистирован Регистратурой домена (Domain Name Registrar) как Регистрант домена (Domain Name Registrant)
Общение с Регистрантом домена (Domain Name Registrant) используя адрес. емаил и телефон. адресс предлагаемый Регистратурой домена (Domain Name Registrar)
Общение с Регистрантом домена (Domain Name Registrant) используя контактную информацию из полей WHOIS \"registrant\", \"technical\", или \"administrative\" ;
Общение с администратором домена используя емаил адрес имеющий ‘admin’, ‘administrator’, ‘webmaster’, ‘hostmaster’, или ‘postmaster’ перед символом
( \"@\" ), затем доменного имени, которые могут быть образованы путем обрезки ноль или более компонентов из запрашиваемого Доменного имени (Fully-Qualified Domain Name - FQDN) ;
Опираясь на Документ, подтверждающий право на использование домена (Domain Authorization Document) ;
После того как Заказчик сертификата (претендент на получение сертификат) (Applicant) продемонстрировал практический контроль над Доменным именем (Fully-Qualified Domain Name - FQDN) внеся согласованные изменения в
содержание на странице сайта данного Доменного имени (Fully-Qualified Domain Name - FQDN) ; или
Использование любого другого метода подтверждения, при условии, что ЦС имеет документальное подтверждение, и что метод подтверждения устанавливает,
что Заказчик сертификата (претендент на получение сертификат) (Applicant) является Регистрантом домена (Domain Name Registrant) , либо имеет контроль над Доменным именем (Fully-Qualified Domain Name - FQDN) , по крайней мере с таким же уровенем
уверенности как в методах, описанных выше.
Примечание: Для целей определения соответствующего уровня доменного имени или Доменной зоны (Domain Namespace)
для международных доменов первого уровня ( generic top-level domains - gTLD ) таких как .com, .net, or .org, или
если Доменное имя (Fully-Qualified Domain Name - FQDN) содержит 2 буквы национальных доменов ( Country Code Top-Level Domain ccTLD )
тогда уровень домена - то, что позволено для регистрации согласно правилам этого ccTLD.
Если ЦС опирается на Документ, подтверждающий право на использование домена (Domain Authorization Document) подтверждающий что Заказчик сертификата (претендент на получение сертификат) (Applicant) контролирует Доменным именем (Fully-Qualified Domain Name - FQDN) ,
Документ, подтверждающий право на использование домена (Domain Authorization Document) MUST (НЕОБХОДИМО, обязательно должно быть) обосновать что общение происходило с
substantiate that the communication came from either the Регистрантом домена (Domain Name Registrant) ( включая частные, анонимные, или прокси-сервер регистрационные службы )
или Регистратурой домена (Domain Name Registrar) указанной в WHOIS.
ЦС MUST (НЕОБХОДИМО, обязательно должно быть) необходимо убедиться что Документ, подтверждающий право на использование домена (Domain Authorization Document) был выпущен
(i) не ранее одного года до поступления Запроса на подпись сертификата CSR (CSR Certificate Signing Request) или
(ii) используемые ЦС для проверки ранее выданного свидетельства и о том, что Домен (Domain Name) записи в WHOIS
не были изменеын с момента выпуска предыдущего сертификата.
11.1.2 Авторизация IP адреса
Для каждого IP Address указанного в сертификате, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтвердить, по состоянию на дату выдачи сертификата, Заказчик сертификата (претендент на получение сертификат) (Applicant) имеет контроль над IP адресом:
После того как Заказчик сертификата (претендент на получение сертификат) (Applicant) продемонстрировал практическое контроль над IP адресом путем согласованной изменения в информации,
найденной на сайте владельца IP адреса;
Получение документации об IP адресе полученного от Администрация адресного пространства Интернет ( Internet Assigned Numbers Authority IANA) или от
региональной регистратуры интернет ( Regional Internet Registry - RIPE, APNIC, ARIN, AfriNIC, LACNIC);
Подтверждение реверсного IP адреса и последующего контроля Домен (Domain Name) согласно разделу 11.1.1 ; или
Использование любого другого метода подтверждения, при условии, что ЦС имеет документальное свидетельство, что метод подтверждения
устанавливает, что Заказчик сертификата (претендент на получение сертификат) (Applicant) имеет контроль над IP адресом, обеспечивающий по крайней мере такой же уровень уверенности как в описанных выше способов.
11.2 Верификация Информация о субъекте сертификации (Subject Identity Information)
Если Заказчик сертификата (претендент на получение сертификат) (Applicant) Запрашивает сертифкат (requests a Certificate) который будет содержать Информация о субъекте сертификации (Subject Identity Information)
состоит только из поле countryName , затем ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтвердить что страна указанная в Subject используя процесс верификации согласно требованиям
11.2.5 и описанные в Полис сертификата (Certificate Policy) и/или Положении о рекомендованной практике (Certification Practice Statement)
Заказчик сертификата (претендент на получение сертификат) (Applicant) Запрашивает сертифкат (requests a Certificate) содержит в поле countryName и другая Информация о субъекте сертификации (Subject Identity Information)
затем ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) идентифицирует Заказчик сертификата (претендент на получение сертификат) (Applicant) , и уатентифицирует Физическое лицо, доверенное лицо (представитель) Applicantа (Applicant Representative) запрашивая сертификат
используя процесс проверки выполнения требований раздела 11.2 и то что описанов с
Полис сертификата (Certificate Policy) и/или Положении о рекомендованной практике (Certification Practice Statement) ЦС
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) проверять любые документы, на которые ссылается соответствии с настоящим разделом для изменения или фальсификации.
11.2.1 Идентификация
Если Информация о субъекте сертификации (Subject Identity Information) включает имя или адрес организации, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) проверит идентичность и адрес организации
и что адрес является существующим адресом Заказчика сертификата (претендента на получение сертификата) (Applicant)
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) проверить личность и адрес Заказчика сертификата (претендента на получение сертификата) (Applicant) используя документацию, предоставленную или через общение с, по крайней мере, одна из :
Государственным органом в юрисдикцию правового создание Заказчика сертификата (претендента на получение сертификата) (Applicant) , существование, или признание;
Сторонняя база данных, которая периодически обновляется и считается Надежный источник данных (Reliable Data Source);
Сайт визит ЦС или третьей стороной, которая выступает в качестве агента для ЦС, или
ЦС MAY (ВОЗМОЖНО, МОЖЕТ) использовать те же самые документы или сообщения, описанные выше 1 по 4 для проверки и идентификации Заказчика сертификата (претендента на получение сертификата) (Applicant) и адреса.
Alternatively, the CA MAY (ВОЗМОЖНО, МОЖЕТ) verify the address of the Applicant (but not the identity of the Applicant) using a utility bill, bank statement, credit card statement, government-issued tax document, or other form of identification that the CA determines to be reliable.
11.2.2 DBA / Торговая марка
Если Информация о субъекте сертификации (Subject Identity Information) включает DBA или Торговую марку, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) проверить право Заказчика сертификата (претендента на получение сертификата) (Applicant)
использовать DBA или Торговую марку используя по меньшей мере одно из следующих:
Документация полученная или запрошенная у государственного органа ответственного за существование, или признание тм. ;
Надежный источник данных;
Связь с государственным агентством, отвечающим за управление такими администраторов баз данных или фирменными наименованиями;
Аттестационная Письмо с документальным сопровождением; или
Счета за коммунальные услуги, выписка из банка, выписки по кредитной карте, выданные государственными органами налогового документа или другого документа, удостоверяющего личность, что ЦС считает надежным.
Если Заказчик сертификата (претендент на получение сертификат) (Applicant) для сертификата использует Информация о субъекте сертификации (Subject Identity Information) как организация , ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) использует
надежный способ коммуникации для аутентификации Запроса на подпись сертификата CSR (CSR Certificate Signing Request) BR_APPLICANT_REPRESENTATIVE_A
ЦС MAY (ВОЗМОЖНО, МОЖЕТ) использовать содержимое описанное в разделе 11.2.1 для подтверждения надежного способа коммуникаци.
При условии, что ЦС использует надежный способ коммуникации, ЦС MAY (ВОЗМОЖНО, МОЖЕТ) установить подлинность Запроса на подпись сертификата CSR (CSR Certificate Signing Request) при помощи
Запроса на подпись сертификата CSR (CSR Certificate Signing Request) BR_APPLICANT_REPRESENTATIVE_A или с авторитетным источником в рамках организации Заказчика сертификата (претендента на получение сертификата) (Applicant) ,
таких, как центрального офиса Заказчика сертификата (претендента на получение сертификата) (Applicant), корпоративного офиса, отдела кадров, офис информационных технологий, или других отделов, который ЦС сочтет целесообразными.
Кроме того ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) создать процесс, который позволяет Заказчик сертификата (претендент на получение сертификат) (Applicant) указать лиц, которые могут делать Запроса на подпись сертификата CSR (CSR Certificate Signing Request)
Если Заказчик сертификата (претендент на получение сертификат) (Applicant) указывает, в письменной форме, лиц, которые могут Запроса на подпись сертификата CSR (CSR Certificate Signing Request) , затем ЦС SHALL NOT (НЕ РАЗРЕШАЕТСЯ, не должно быть) принимать любые BR_CSR_I , которые находятся вне этой спецификации.
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) обеспечивает Заказчик сертификата (претендент на получение сертификат) (Applicant) списком своих уполномоченных Запроса на подпись сертификата CSR (CSR Certificate Signing Request) BR_APPLICANT_V проверены письменного запроса.
11.2.4 Верификация личности Заказчика сертификата (претендента на получение сертификата) (Applicant)
Если Заказчик сертификата (претендент на получение сертификат) (Applicant) в разделе 11.2 является физическим лицом, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) должен проверить имя, адрес s, и подлинность Запроса на подпись сертификата CSR (CSR Certificate Signing Request)
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтверждает имя Заказчика сертификата (претендента на получение сертификата) (Applicant) используя разборчивой копией, которая ощутимо показывает лицо Заказчика сертификата (претендента на получение сертификата) (Applicant)
по крайней мере один действующий выпущенное правительством удостоверение личности с фотографией ( паспорт, водительское удостоверение, военный билет,
национальное удостоверение личности или эквивалентный тип документа ).
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) исследует копию на признак изменения или фальсификации.
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтверждает адрес Заказчика сертификата (претендента на получение сертификата) (Applicant) используя документ, удостоверяющий личность, которые ЦС считает надежными, такие как идентификационный номер,
счет за коммунальные услуги, банковский счет или выписка по кредитной карточке.
ЦС MAY (ВОЗМОЖНО, МОЖЕТ) опираться на то же правительство удостоверение личности, которая была использована для проверки имени Заказчика сертификата (претендента на получение сертификата) (Applicant)
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) подтверждает Запроса на подпись сертификата CSR (CSR Certificate Signing Request) Заказчика сертификата (претендента на получение сертификата) (Applicant) используя надежный способ коммуникации.
11.2.5 Верификация страны
Если поле subject:countryName присутствует. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) верифицировать страну ассоциированную с Subject используя одно из следующих:
(a) IP Address range assignment by country for either
(i) IP адрес сайта, как указано в записи DNS для веб-сайта или
(ii) IP принадлежит Заказчику сертификата (претенденте на получение сертификата) (Applicant) ;
(b) ccTLD Домена (Domain Name) ;
(c) информация предоставленная Регистратурой домена (Domain Name Registrar) ; or
(d) методы определенные в разделе 11.2.1
ЦС SHOULD (ДОЛЖЕН) осуществлять процесс отбора прокси-серверов, чтобы предотвратить что IP адрес находится в другой стране где Заказчик сертификата (претендент на получение сертификат) (Applicant) на самом деле находится.
11.3 Возраст данных сертификата
Раздел 9.4 ограничивает срок сертификата для Пользователя сертификата (Subscriber) .
ЦС MAY (ВОЗМОЖНО, МОЖЕТ) использует документы и данные представленные в разделе 11для проверки информации сертификата,
предусматривает, что ЦС получил данные или документы из источников, указанных в разделе 11 не более чем тридцать девять (39) месяцев до выдачи сертификата.
11.4 Список запрещенных
В соответствии с разделом 15.3.2 ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) поддерживать внутреннюю базу данных всех ранее отозванных и отклоненных сертификатов
запросов сертификатов по подозрению фишинга или другого мошеннического использования или создания проблем.
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) использовать эту информацию для выявления подозрительных Запросов на подпись сертификата CSR (CSR Certificate Signing Request)
11.5 Запрос на подпись сертификата CSR (CSR Certificate Signing Request) высокого риска
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) разработать, поддерживать и осуществлять документирование процедур, которые определяют и требуют дополнительной
проверки деятельности для Запрос на подпись сертификата CSR (CSR Certificate Signing Request) высокого риска перед одорением сертификата как разумно необходимые для обеспечения того,
чтобы такие просьбы должным образом проверена в соответствии с этими Требованиями.
11.6 Источники точных данных
Перед использованием любого источника данных в качестве надежного источника данных ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) оценить источник для его надежность, точность,
и устойчивость к изменению или фальсификация. ЦС SHOULD (ДОЛЖЕН) учесть следующее во время его оценки:
Насколько информация устаревшая
Частота обновления информации источника,
Кто поставщик данных и для чего он собирает данные,
Доступность данных общественности
Относительная трудность в фальсификации или изменения данных.
Базы данных поддерживаеме ЦС, его владельцем, или ее дочерней компанией не квалифицируются как надежный источник данных, если
основная цель базы данных для сбора информации в целях выполнения требований, предусмотренные требованиями раздела 11