Базові вимоги до випуску і управлінню публічно довірених сертифікатів DV и OV
13. Проверка статуса и отзыв сертификата
13.1 Отзыв
13.1.1 Запрос на отзыв
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) предоставлять право Пользователям сертификата подавать запрос на отзыв своих собственных Сертификатов.Этот процесс MUST (НЕОБХОДИМО, обязательно должно быть) быть описан в Полисе сертификата ЦС или в Положении о рекомендованной практике. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) оставаться доступным на протяжении 24х7, чтобы принимать и отвечать на запросы на отзыв сертификатов и связанные с этим вопросы.
13.1.2 Отчет о проблеме сертификата
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) предоставлять Пользователям, Полагающимся сторонам, Поставщикам программного обеспечения и третьим сторонам, четкие инструкции для уведомления о Компрометации частного ключа, нецелевого использования Сертификата, или других способов мошенничества, которые относятся к Сертификатам. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) делать инструкции общедоступными с помощью легкодоступных средств online.
13.1.3 Расследование
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) начать расследование Отчета о проблемах использования сертификата в течении 24 часов с момента его получения, и принять решение об отзыве или другом соответствующем действии, исходя из следующих критериев:
1. Характер предполагаемых проблем;
2. Количество Отчетов о проблемах использования сертификата, полученных о конкретном Сертификате или Пользователе;
3. Лицо, подавшее жалобу (например, жалоба от сотрудника правоохранительных органов, о том, что веб-сайт занимается незаконной деятельностью. Такие жалобы будут иметь большую силу в сравнении с другими претензиями, к примеру в случае когда потребитель не получил товаров, которые заказывал); и
4. Соответственное законодательство.
13.1.4 Автоответчик
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) реагировать на срочные Отчеты о проблемах использования сертификата 24х7, и при необходимости передавать такие жалобы в правоохранительные органы, и/или отозвать Сертификат, который является объектом недовольства.
13.1.5 Причины отзыва
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) отозвать сертификат на протяжении 24 часов при одном или нескольких условиях, описанных ниже:
1. Пользователь сертификата в письменной форме запрашивает ЦС отозвать Сертификат;
2. Пользователь сертификата уведомляет ЦС о том, что исходный запрос на сертификат не был авторизован и не предоставляется право на обратный доступ;
3. ЦС получает доказательства того, что Частный ключ пользователя сертификата (соответствует Открытому ключу в сертификате) подвергался компрометации, или то, что Сертификат был использован не по назначению (также смотрите пункт 10.2.4);
4. ЦС известно то, что Пользователь сертификата нарушил одно или несколько материальных обязательств пользователя или Условий использования соглашения;
5. ЦС известно обо всех обстоятельствах, которые указывают на то, что использование Полного конкретного имени домена или IP-адреса, указанных в сертификате больше не является правомерным (то есть суд или арбитр отозвал право Регистранта домена использовать Доменное имя, соответствующую лицензию или договор на обслуживание между Регистрантом домена и Заказчиком сертификата закончились, или Регистранту домена не удалось возобновить Доменное имя);
6. ЦС известно то, что Вилдкард Сертификат был использован для аутентификации вводящего в заблуждение подчиненного Полного конкретного доменного имени;
7. ЦС осведомлены о существенных изменениях информации, что содержится в Сертификате;
8. ЦС отдает себе отчет в том, что Сертификат не был выдан в соответствии с Требованиями или Полисом сертификата ЦС, или же в соответствии с Положением о рекомендованной практике;
9. ЦС определяет то, что любая информация, которая содержится в сертификате, является неточной или вводящей в заблуждение;
10. ЦС прекращает действия по любой причине и не вступает в соглашение с другим ЦС для обеспечения поддержки об отзыве Сертификата;
11. Право ЦС на выдачу Сертификатов согласно этим требованиям истекает/завершается, если ЦС не вступил в соглашение для продолжения сопровождения Онлайн базы данных CRL/OCSP;
12. ЦС осведомлены о возможной компрометации Частных ключей Подчиненного ЦС, что используется для выдачи Сертификата;
13. Отзыв является обязательным в соответствии с Полисом сертификата ЦС и/или Положением о рекомендованной практике; или
14. Техническое содержание или формат сертификата представляет неприемлемый риск для Поставщиков специализированного программного обеспечения или для Полагающихся сторон (то есть ЦС/Браузер форум может определить, то что не рекомендуемый криптографический алгоритм, подпись или размер ключа представляет неприемлемый риск, а также то, что такие Сертификаты должны быть отозваны и заменены ЦС на протяжении заданного периода времени).
13.2 Проверка статуса сертификата
13.2.1 Механизмы
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) сделать сведения об отзыве сертификатов доступными для Подчиненных сертификатов и Пользователей в соответствии с Приложением B.
Если Пользовательский сертификат предназначен для часто посещаемого Полного конкретного доменного имени FQDN, ЦС MAY (ВОЗМОЖНО, МОЖЕТ) полагаться на расширение в соответствии с [RFC4366], с целью распространения ответов OCSP. В таком случае, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) гарантировать, что Пользователь сертификата “прикрепляет” ответ OCSP на сертификат в хендшейке TLS. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) реализовать это требование относительно Пользователя либо с помощью договора, через Пользователя или Условия использования договора, или с помощью оценки технической экспертизы, которую осуществляет ЦС.
13.2.2 Хранилище
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) поддерживать Хранилище в работоспособном состоянии 24х7, которое может быть использовано специализированным программным обеспечением для автоматической проверки текущего состояния всех действующих Сертификатов, выданных ЦС.
Для статуса Пользователя сертификатов:
1. Если ЦС обнародует Список отозванных сертификатов, тогда ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) обновлять и переиздавать списки CRLs, не реже чем раз в семь дней, и значение (дата) в поле «следующее обновление» MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) быть заполнено позднее чем через десять дней после его обновления; и
2. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) обновлять информацию, предоставленную через Протокол проверки статуса сертификата в режиме реального времени на предмет отозванности, не реже чем каждые четыре дня. Максимальный срок действия ответов OCSP протоколов не MUST (НЕОБХОДИМО, обязательно должно быть) превышать 10 дней.
Для статуса Подчиненных сертификатов ЦС:
1. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) обновлять и переиздавать Списки отозванных сертификатов, не реже чем (i) раз в двенадцать месяцев и (ii) в течении 24 часов после отзыва Подчиненного сертификата ЦС, и поле следующего обновления MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) быть заполнено позднее чем через двенадцать месяцев после его обновления; и
2. ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) обновить информацию, предоставленную через Протокол проверки статуса сертификата в режиме реального времени на предмет отозванности, по крайней мере (i) каждые двенадцать месяцев и (ii) на протяжении 24 часов после отзыва Подчиненного сертификата ЦС.
Начиная с 1 января 2013 года, ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) поддерживать возможности OCSP используя GET метод (используется для запроса содержимого указанного ресурса) для Сертификатов, выданных в соответствии с этими Требованиями.
13.2.3 Время ответа
ЦС SHALL (РАЗРЕШАЕТСЯ, НУЖНО, должно быть) управлять и поддерживать право доступа CRL (Списка отозванных сертификатов) и OCSP (Протокола проверки статуса сертификата в режиме реального времени на предмет отозванности) с достаточными ресурсами, чтоб обеспечить время ответа (время реакции) в течении 10 секунд или же меньше при нормальных условиях эксплуатации.
13.2.4 Удаление записей
Отзыв записей автоответчика CRL или OCSP MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) быть удален до истечения срока действия отозванного Сертификата.
13.2.5 Подписание OCSP
Автоответчик OCSP MUST (НЕОБХОДИМО, обязательно должно быть) соответствовать RFC2560 и/или RFC5019. Автоответчик OCSP MUST (НЕОБХОДИМО, обязательно должно быть) либо:
1. Быть подписан ЦС, который выдал сертификаты и статус отзыва которого был проверен, или
2. Быть подписан Автоответчиком OCSP, Сертификат которого был подписан и выдан одним и тем же ЦС, и чей статус отзыва был проверен.
В последнем случае, подписание OCSP Сертификата MUST (НЕОБХОДИМО, обязательно должно быть) содержать расширение типа id-pkix-ocsp-nocheck, как это определено в RFC2560.
13.2.6 Автоответчик на не выданные сертификаты
Если автоответчик OCSP получает запрос на статус сертификата, который не был выдан, то он SHOULD_NOT (НЕ ДОЛЖЕН) отвечать пометкой статуса "good" ЦС SHOULD (ДОЛЖЕН) контролировать автоответчик относительно таких запросов, как часть осуществления процедур безопасности.
Вступает в силу с 1 Августа 2013, автоответчик OCSP MUST_NOT (НЕДОПУСТИМО, обязательно не должно быть) отвечать статусом \"good\" на такие сертификаты.
OV 
Купить сертификат
