Процесс шифрования

  • 1. ВВЕДЕНИЕ

    1.1 Обзор

    В этом документе «Заявление о практике сертификации» («CPS») описываются методы предоставления услуг сертификации для инфраструктуры открытых ключей Internet Security Research Group («ISRG») («ISRG PKI»).

    Услуги ISRG PKI включают, помимо прочего, выпуск, управление, проверку, отзыв и обновление сертификатов в соответствии с требованиями политики сертификатов ISRG (CP). Рекомендуется, чтобы читатели ознакомились с ISRG CP перед чтением этого документа.

    Услуги ISRG PKI чаще всего, но не обязательно исключительно, предоставляются под торговой маркой Let's Encrypt.

    ИПК ISRG соответствует текущей версии руководящих принципов, принятых Центром сертификации / Форумом браузеров («Форумом CAB») при выдаче общедоступных доверенных сертификатов, включая Базовые требования для выпуска и управления публично доверенных сертификатов («Базовые требования») . Документы форума CAB можно найти на https://www.cabforum.org . Если есть какое-либо противоречие между настоящим CPS и соответствующими требованиями или рекомендациями CAB Forum, то требования или рекомендации CAB Forum имеют преимущественную силу.

    Другие документы, связанные с поведением и контролем ISRG PKI, такие как Соглашение с подписчиком и Политика конфиденциальности, можно найти по адресу https://letsencrypt.org/repository/ .

    Согласно IETF PKIX RFC 3647, этот CPS разделен на девять компонентов, которые охватывают средства управления безопасностью, методы и процедуры для услуг сертификации, предоставляемых ISRG PKI.

    Настоящий CPS охватывает следующие центры сертификации:

    Тип CA Выдающееся имя Тип и параметры ключевой пары Отпечаток ключа SHA-256 Срок годности
    Корневой ЦС C = США,
    O = Исследовательская группа по интернет-безопасности,
    CN = ISRG Root X1
    RSA, n имеет 4096 бит, e = 65537 96: BC: EC: 06: 26: 49: 76: F3:
    74: 60: 77: 9A: CF: 28: C5: A7:
    CF: E8: A3: C0: AA: E1: 1A: 8F:
    FC: EE: 05: C0: BD: DF: 08: C6
    Не раньше: 4 июня, 11:04:38 2015 по Гринвичу,
    не после: 4 июня, 11:04:38 2035 по Гринвичу

    Эта работа находится под лицензией Creative Commons Attribution 4.0 International License. Чтобы просмотреть копию этой лицензии, посетите http://creativecommons.org/licenses/by/4.0/ или отправьте письмо по адресу Creative Commons, PO Box 1866, Mountain View, CA 94042, США.

    1.2 Название и идентификация документа

    Это Заявление о практике сертификации ISRG. Этот документ был одобрен для публикации органом управления политиками ISRG и доступен по адресу https://letsencrypt.org/repository/ .

    Были внесены следующие изменения:

    Дата Изменения Версия
    5 мая 2015 г. Оригинал. 1.0
    9 сентября 2015 г. Добавлен / исправлен ряд URI политик, удален LDAP как механизм для публикации информации о сертификатах, удалено требование административного контакта для подписчиков DV-SSL, удалено упоминание о возможности отзыва через Интернет, удалено описание центра обслуживания клиентов, существенные изменения во всем разделе 9 по юридическим вопросам, другие мелкие исправления / улучшения. 1.1
    22 сентября 2015 г. Обновлено описание серийного номера в Разделе 10.3.1, Профили сертификатов DV-SSL. 1.2
    16 марта 2016 г. Обновите периоды выдачи корневого CRL, запретите выдачу TLD '.mil', сделайте расширение NameConstraints необязательным для профиля перекрестной сертификации, уточните необязательное содержимое NameConstraints, уточните, что OSCP ResponderID является именем по имени, поясните, что расширение nonce OCSP не поддерживается. 1.3
    5 мая, 2016 Ссылка CP v1.2, а не CP v1.1. Добавьте информацию о расширении tlsFeature, serialNumber в поле Subject Distinguished Name. 1.4
    18 октября 2016 г. Не требовать прекращения использования закрытого ключа из-за неверной информации в сертификате. Добавьте информацию о выдаче интернационализированных доменных имен. Добавьте информацию об определяющем домене CAA CA. Не требовать прекращения использования закрытого ключа из-за истечения срока действия или отзыва сертификата. 1.5
    13 апреля 2017 г. Полная перезапись CPS. 2.0
    6 февраля 2018 г. Снять ограничение на выдачу TLD .mil. 2.1
    10 марта 2018 г. Удалите текст о том, что сертификаты с подстановочными знаками не поддерживаются. Уточните, что для проверки подстановочных знаков необходимо использовать метод изменения DNS. 2.2
    4 мая 2018 г. Добавьте поля CT в профили сертификатов. Укажите соответствие текущим базовым требованиям для всех проверок. Обновите текст уведомления об истечении срока действия сертификата. Удалите эталонные петли. Незначительная уборка. 2.3
    20 сентября 2018 г. Определите отчеты о проблемах с сертификатами в разделе 1.6.1. Добавьте информацию об отправке отчетов о проблемах с сертификатами в Раздел 1.5.2. 2,4
    14 ноября 2018 г. Удалите текст уведомления пользователя из профиля сертификата конечного объекта в Разделе 7.1. 2,5
    3 июля 2019 г., Незначительные грамматические изменения и прописные буквы. 2,6
    21 января 2020 г. Сделайте структуру более точно соответствующей рекомендации RFC 3647. Проверьте использование фразы «Нет условий» и удалите пустые разделы. Снять ограничение на выдачу IP-адресов в разделе 7.1.5. Обновите списки подходящего и запрещенного использования сертификатов в разделах 1.4.1 и 1.4.2. Уточните требования к ежегодной оценке уязвимости в разделе 5.4.8. 2,7
    28 мая 2020 Укажите в Разделе 4.9.3, что отзыв из-за компрометации ключа приведет к блокировке открытого ключа для будущей выдачи и аннулированию других невыполненных сертификатов с этим ключом. Обновить описание представлений прозрачности сертификата. 2,8
    14 июля 2020 г. Уточните инструкции по запросу на отзыв в разделе 4.9.3. 2,9

    1.3 Участники PKI

    1.3.1 Сертификационные органы

    ISRG - это центр сертификации, который предоставляет услуги, включая, помимо прочего, выпуск, управление, проверку, отзыв и обновление общедоступных доверенных сертификатов. Эти услуги предоставляются в соответствии с требованиями Политики сертификации (CP) ISRG и настоящего CPS. Эти услуги предоставляются широкой публике, за исключением случаев, когда руководство ISRG сочтет это целесообразным или в соответствии с действующим законодательством.

    Услуги ISRG PKI чаще всего, но не обязательно исключительно, предоставляются под торговой маркой Let's Encrypt.

    1.3.2 Регистрирующие органы

    ISRG выступает в качестве собственного RA. Услуги RA не предоставляются третьими лицами.

    1.3.3 Подписчики

    См. Определение «Подписчик» в Разделе 1.6.1 «Определения».

    1.3.4 Проверяющие стороны

    См. Определение «Проверяющая сторона» в разделе 1.6.1 «Определения».

    Проверяющие стороны должны проверить действительность сертификатов через CRL или OCSP, прежде чем полагаться на сертификаты. Информация о местоположении CRL и OCSP предоставляется в сертификатах.

    1.3.5 Другие участники

    Среди других участников - центры сертификации, которые подписывают или выдают подчиненных ISRG PKI.

    Поставщики ISRG PKI и поставщики услуг с доступом к конфиденциальной информации или привилегированным системам должны работать в соответствии с ISRG CP.

    1.4 Использование сертификата

    1.4.1 Надлежащее использование сертификата

    Без оговорок.

    1.4.2 Запрещенное использование сертификата

    Сертификаты нельзя использовать:

    • Для любого применения, требующего безотказной работы, такого как: а) эксплуатация ядерных энергетических установок; б) системы управления воздушным движением; в) системы навигации самолетов; г) системы управления вооружением; д) любые другие системы, отказ которых может привести к травмам, смерти или ущерб окружающей среде.
    • Для программных или аппаратных архитектур, которые предоставляют средства для вмешательства в шифрованную связь, включая, помимо прочего, а) активное подслушивание (например, атаки типа «человек посередине») б) управление трафиком доменных имен или адресов интернет-протокола (IP), которые организация не владеет и не контролирует. Обратите внимание, что эти ограничения должны применяться независимо от того, знает ли доверяющая сторона, обменивающаяся данными через программную или аппаратную архитектуру, о предоставляемых ею средствах для вмешательства в зашифрованную связь.

    Обратите внимание, что сертификаты не гарантируют ничего в отношении репутации, честности или текущего состояния безопасности конечных точек. Сертификат означает только то, что информация, содержащаяся в нем, была проверена как разумно правильная при выдаче Сертификата.

    1.5 Администрирование политики

    1.5.1 Организация, управляющая документом

    Этот документ CPS поддерживается ISRG PMA.

    1.5.2 Контактное лицо

    С ISRG PMA можно связаться по адресу:

    Орган управления политиками,
    группа исследований в области безопасности в Интернете,
    1, Letterman Drive, Suite D4700,
    San Francisco, CA 94129

    Запросы на отзыв сертификата можно сделать через ACME API. Пожалуйста, обратитесь к Разделу 4.9.3 для получения дополнительной информации.

    Отчеты о проблемах с сертификатами можно отправлять по электронной почте по адресу:

    cert-prob-reports@letsencrypt.org

    1.5.3 Лицо, определяющее соответствие CPS политике

    ISRG PMA отвечает за определение пригодности этого CPS. ISRG PMA информируется о результатах и ​​рекомендациях, полученных от независимого аудитора.

    1.5.4 Процедуры утверждения CPS

    ISRG PMA утверждает любые изменения в этом документе CPS после официального рассмотрения.

    1.6 Определения и сокращения

    1.6.1 Определения

    • ACME протокол
      • Протокол, используемый для проверки, выдачи сертификатов и управления ими. Протокол является открытым стандартом, управляемым IETF.
    • Заявитель
      • Лицо, подающее заявку на сертификат.
    • Базовые требования
      • Документ, опубликованный CAB Forum, в котором излагаются минимальные требования для публично доверенных центров сертификации.
    • CAB Форум
      • Центр сертификации / Форум браузеров, группа центров сертификации и браузеров, которые собираются вместе для обсуждения технических и политических вопросов, связанных с системами PKI. ( https://cabforum.org/ )
    • Отчет о проблемах с сертификатом
      • Жалоба на предполагаемую компрометацию ключей, неправомерное использование сертификатов или другие виды мошенничества, компрометации, неправомерного использования или ненадлежащего поведения, связанного с сертификатами.
    • Репозиторий сертификатов
    • Крест сертификат
      • Сертификат, который используется для установления доверительных отношений между двумя корневыми центрами сертификации.
    • Политика и юридический репозиторий
      • Хранилище политик и юридических документов, связанных с ISRG PKI. Он находится по адресу: https://letsencrypt.org/repository/
    • Ключевая пара
      • Закрытый ключ и связанный с ним открытый ключ.
    • Предварительный сертификат
      • Сертификат, содержащий критически опасное расширение, как определено в RFC 6962, раздел 3.1.
    • Закрытый ключ
      • Ключ в паре ключей, который должен храниться в секрете. Используется для создания цифровых подписей, которые могут быть проверены соответствующим открытым ключом, или для расшифровки сообщений, зашифрованных соответствующим открытым ключом.
    • Открытый ключ
      • Единственный ключ в паре ключей, который можно безопасно раскрыть публично. Используется Проверяющими сторонами для проверки цифровых подписей с помощью соответствующего закрытого ключа или для шифрования сообщений, которые могут быть расшифрованы только с помощью соответствующего закрытого ключа.
    • Полагающаяся сторона
      • Сущность, которая полагается на информацию, содержащуюся в сертификатах, выпущенных службами ISRG PKI.
    • Корневой ЦС
      • Центр сертификации верхнего уровня, корневой сертификат которого распространяется поставщиками прикладного программного обеспечения и выдает сертификаты подчиненного центра сертификации.
    • Безопасные объекты PKI
      • Средства, предназначенные для защиты уязвимой инфраструктуры PKI, включая закрытые ключи CA.
    • Подписчик
      • Субъект, который согласился с Абонентским соглашением и использует сервисы ISRG PKI.
    • Надежный участник
      • Участник, выполняющий доверенную роль. Доверенные участники могут быть сотрудниками, подрядчиками или членами сообщества. Надежные участники должны быть надлежащим образом обучены и квалифицированы, а также иметь соответствующие юридические обязательства перед выполнением доверенной роли.
    • Надежная роль
      • Роль, которая дает человеку право получать доступ или изменять системы PKI ISRG, инфраструктуру и конфиденциальную информацию.

    1.6.2 Акронимы

    • ACME
      • Автоматизированная среда управления сертификатами
    • CA
      • Центр сертификации
    • CAA
      • Авторизация центра сертификации
    • CP
      • Политика сертификатов
    • CPS
      • Заявление о практике сертификации
    • DV
      • Проверка домена
    • FQDN
      • Полное доменное имя
    • HSM
      • Аппаратный модуль безопасности
    • IDN
      • Интернационализированное доменное имя
    • IP
      • протокол Интернета
    • ISRG
      • Группа исследований интернет-безопасности
    • PKI
      • Инфраструктура открытых ключей
    • PMA
      • Орган управления политиками
    • РА
      • Орган регистрации
    • SAN
      • Альтернативное имя субъекта
    • TLD
      • Домен верхнего уровня

    1.6.3 Ссылки

    В настоящее время ссылки не определены.

    1.6.4 Условные обозначения

    Термины, не определенные иначе в этом CPS, должны соответствовать определению в соответствующих соглашениях, руководствах пользователя, политиках сертификации и положениях о практике сертификации CA.

    Ключевые слова «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ОБЯЗАТЕЛЬНО», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «ДОЛЖЕН», «НЕ ДОЛЖЕН», «РЕКОМЕНДУЕТСЯ», «МОЖЕТ» и «НЕОБЯЗАТЕЛЬНО» в настоящих Требованиях должны интерпретироваться в соответствии с RFC 2119.

    2. ОБЯЗАННОСТИ ПУБЛИКАЦИИ И РЕПОЗИТАЦИИ

    2.1 Репозитории

    Документы аудита ISRG CP, CPS, Политики конфиденциальности, Соглашения с подписчиком и WebTrust общедоступны в Политике и Юридическом репозитории, которые можно найти по адресу:

    https://letsencrypt.org/repository/

    2.2 Публикация информации о сертификации

    Записи всех корневых и промежуточных сертификатов ISRG, включая те, которые были отозваны, доступны в репозитории сертификатов:

    https://letsencrypt.org/certificates/

    Сертификаты ISRG содержат URL-адреса мест, где публикуется информация о сертификате, включая информацию об отзыве через OCSP и / или CRL.

    2.3 Время или частота публикации

    Новые или обновленные документы ISRG CP, CPS, Политика конфиденциальности, Соглашение с подписчиком и аудиторские документы WebTrust становятся общедоступными в кратчайшие сроки. Обычно это означает в течение семи дней после получения или утверждения.

    Новые или обновленные корневые и промежуточные сертификаты ISRG становятся общедоступными в кратчайшие сроки. Обычно это означает в течение семи дней после создания.

    2.4 Контроль доступа к репозиториям

    Доступ только для чтения к Политике и Юридическому репозиторию и информации сертификатов не ограничен. Доступ для записи защищен логическими и физическими элементами управления.

    3. ИДЕНТИФИКАЦИЯ И Аутентификация

    3.1 Именование

    3.1.1 Типы имен

    Отличительные имена сертификатов и альтернативные имена субъектов соответствуют CP.

    3.1.2 Потребность в значимых именах

    Сертификаты ISRG включают поле «Тема», которое идентифицирует субъект-субъект (то есть организацию или домен). Субъектная сущность идентифицируется с использованием отличительного имени.

    Сертификаты ISRG включают поле «Эмитент», которое идентифицирует выдающую организацию. Выдающий объект идентифицируется с использованием отличительного имени.

    3.1.3 Анонимность или псевдонимность подписчиков

    Подписчики не идентифицируются в сертификатах DV, которые имеют поля темы, идентифицирующие только доменные имена (не людей или организации). Доверяющим сторонам следует рассматривать подписчиков сертификатов DV как анонимных.

    3.1.4 Правила интерпретации различных форм имен

    Отличительные имена в сертификатах должны интерпретироваться с использованием стандартов X.500 и синтаксиса ASN.1. RFC 2253 и RFC 2616 предоставляют дополнительную информацию.

    Сертификаты не подтверждают каких-либо конкретных отношений между подписчиками и владельцами доменных имен, содержащихся в сертификатах.

    Что касается интернационализированных доменных имен, ISRG не будет возражать, если домен разрешается через DNS. Позиция центра сертификации состоит в том, что регистраторы должны иметь дело с подменой гомоглифов, а веб-браузеры должны иметь разумную политику в отношении того, когда отображать версии имен Punycode.

    3.1.5 Уникальность имен

    Без оговорок.

    3.1.6 Признание, аутентификация и роль товарных знаков

    ISRG оставляет за собой право принимать все решения относительно имен подписчиков в сертификатах. Организации, запрашивающие сертификаты, должны будут продемонстрировать свое право на использование имен (например, продемонстрировать контроль над доменным именем), но права на товарный знак не проверяются.

    Хотя ISRG будет соблюдать законы США и связанные с ними правовые постановления, позиция ISRG заключается в том, что ответственность за соблюдение прав на товарные знаки для доменных имен должна лежать в первую очередь на регистраторах доменов и правовой системе.

    3.2 Первоначальная проверка личности

    ISRG может принять решение не выдавать сертификат по своему усмотрению.

    3.2.1 Метод доказательства владения закрытым ключом

    Кандидаты должны доказать владение закрытым ключом, соответствующим открытому ключу, в запросе сертификата, что может быть сделано путем подписания запроса закрытым ключом.

    3.2.2 Аутентификация организации и домена

    ISRG выдает только сертификаты проверки домена (DV). Когда запрос сертификата включает список полных доменных имен в списке SAN, все домены в списке полностью проверяются перед выпуском.

    Проверка сертификатов DV включает демонстрацию надлежащего контроля над доменом. ISRG проверяет управление доменом в основном автоматически через протокол ACME. В исключительных случаях контроль может быть подтвержден с использованием методов, аналогичных тем, которые используются в ACME, но выполняются вручную.

    Для демонстрации управления доменом используются три метода:

    1. Согласованное изменение веб-сайта: подтверждение того, что кандидат контролирует запрошенное полное доменное имя, путем подтверждения наличия согласованного содержимого, содержащегося в файле или на веб-странице в каталоге «/.well-known/acme-challenge/» в каталоге запрошенное полное доменное имя, доступное для CA через HTTP через порт 80, после перенаправления. (BR Раздел 3.2.2.4.6)

    2. Изменение DNS: подтверждение того, что кандидат контролирует запрошенное полное доменное имя путем подтверждения наличия случайного значения (с энтропией не менее 128 бит) в записи DNS TXT или CAA для запрошенного полного доменного имени с префиксом «_acme-challenge». (BR Раздел 3.2.2.4.7)

    3. TLS с использованием случайного числа: подтверждение того, что кандидат контролирует запрошенное полное доменное имя путем подтверждения наличия случайного значения (с энтропией не менее 128 бит) в сертификате запрошенного полного доменного имени, доступного для центра сертификации через TLS через порт 443. ( BR раздел 3.2.2.4.10)

    Проверка запросов домена с подстановочными знаками должна выполняться с использованием метода изменения DNS.

    Все проверки выполняются в соответствии с текущими базовыми требованиями CAB Forum на момент проверки.

    3.2.3 Аутентификация личности

    ISRG не выдает сертификаты отдельным лицам и, следовательно, не проверяет подлинность личности.

    3.2.4 Непроверенная информация о подписчике

    Непроверенная информация о кандидате не включается в сертификаты ISRG.

    3.2.5 Подтверждение полномочий

    ISRG не выдает сертификаты организациям и, следовательно, не проверяет право физических лиц запрашивать сертификаты от имени организаций.

    У организаций есть возможность указать центр выдачи CA через записи CAA, которые ISRG уважает.

    3.2.6 Критерии взаимодействия

    ISRG раскрывает перекрестные сертификаты в своем репозитории сертификатов:

    https://letsencrypt.org/certificates/

    3.3 Идентификация и аутентификация для запросов на смену ключей

    3.3.1 Идентификация и аутентификация для обычного смены ключей

    См. Раздел 4.7.

    3.3.2 Идентификация и аутентификация для повторного ключа после отзыва

    См. Раздел 4.7.

    3.4 Идентификация и аутентификация для запроса на отзыв

    Идентификация и аутентификация для запросов на отзыв выполняется ISRG в соответствии с разделом 4.9 этого документа.

    Идентификация и аутентификация не требуются, когда ISRG запрашивает отзыв.

    4. ЭКСПЛУАТАЦИОННЫЕ ТРЕБОВАНИЯ К СЕРТИФИКАТУ СРОК СЛУЖБЫ

    4.1 Заявление на сертификат

    4.1.1 Кто может подавать заявку на сертификат

    Любой желающий может подать заявку на сертификат по протоколу ACME. Выдача будет зависеть от надлежащей проверки и соблюдения политик ISRG.

    4.1.2 Процесс регистрации и обязанности

    Процесс регистрации включает в себя следующие шаги в произвольном порядке:

    • Создание пары ключей безопасными методами
    • Отправка запроса на сертификат, содержащий всю необходимую информацию, включая открытый ключ
    • Согласие с соответствующим Абонентским соглашением

    4.2 Обработка заявки на сертификат

    4.2.1 Выполнение функций идентификации и аутентификации

    ISRG выполняет все функции идентификации и аутентификации в соответствии с ISRG CP. Это включает проверку согласно разделу 3.2.2 CPS.

    ISRG проверяет наличие соответствующих записей CAA перед выдачей сертификатов. CA действует в соответствии с записями CAA, если они есть. Домен идентификации CAA CA - letsencrypt.org.

    4.2.2 Утверждение или отклонение заявок на сертификаты

    Для утверждения требуется успешное завершение проверки в соответствии с Разделом 3.2.2, а также соответствие всем политикам CA.

    Сертификаты, содержащие новый gTLD, рассматриваемый ICANN, не будут выданы. Сервер CA будет периодически обновляться до последней версии списка общедоступных суффиксов и будет обращаться к разделу доменов ICANN по каждому запрошенному идентификатору DNS. Сервер CA не будет проверять или выдавать идентификаторы DNS, не имеющие общедоступного суффикса в разделе доменов ICANN. Список общедоступных суффиксов обновляется при добавлении новых gTLD и никогда не включает новые gTLD, пока они не станут разрешаемыми.

    ISRG ведет список доменов с высоким риском и блокирует выдачу сертификатов для этих доменов. Запросы на удаление из списка доменов с высоким риском будут рассмотрены, но, скорее всего, потребуются дополнительные документы, подтверждающие контроль над доменом со стороны Заявителя, или другие доказательства, которые руководство ISRG сочтет необходимыми.

    4.2.3 Время обрабатывать заявки на сертификат

    Без оговорок.

    4.3 Выдача сертификата

    4.3.1 Действия ЦС при выдаче сертификата

    Сертификаты, выпущенные корневым ЦС, требуют, чтобы лицо, уполномоченное ISRG, сознательно выдало прямую команду, чтобы корневой ЦС выполнил операцию подписания сертификата.

    Источник запроса сертификата подтверждается перед выдачей. Процессы CA защищены от несанкционированного изменения во время выдачи сертификата. Выпущенные сертификаты хранятся в базе данных, а затем становятся доступными для подписчика.

    4.3.2 Уведомление абонента ЦС о выдаче сертификата

    Сертификаты конечных объектов становятся доступными для подписчиков по протоколу ACME сразу после выпуска, насколько это возможно. Обычно это происходит в течение нескольких секунд.

    4.4 Принятие сертификата

    4.4.1 Порядок принятия сертификата

    См. Раздел 4.4.1 ISRG CP.

    4.4.2 Публикация сертификата центром сертификации

    Все корневые и промежуточные сертификаты становятся общедоступными через Репозиторий сертификатов.

    Все сертификаты конечных объектов доступны для подписчиков через протокол ACME.

    Для каждой выдачи сертификата конечного объекта ISRG подписывает предварительный сертификат и отправляет его в выбранные журналы прозрачности сертификата. После успешной отправки ISRG попытается выпустить сертификат, который соответствует предварительному сертификату (согласно RFC 6962, раздел 3.1) и включает по крайней мере две из полученных меток времени подписанного сертификата (SCT). ISRG отправляет итоговый сертификат в выбранные журналы прозрачности сертификатов в максимально возможной степени.

    ISRG не гарантирует выдачу окончательного сертификата для каждого предварительного сертификата.

    4.4.3 Уведомление о выдаче сертификата ЦС другим объектам

    См. Раздел 4.4.2.

    4.5 Использование пары ключей и сертификата

    4.5.1 Использование секретного ключа и сертификата подписчика

    Подписчики обязаны создавать пары ключей с использованием достаточно надежных систем.

    Подписчики обязаны принимать разумные меры для защиты своих закрытых ключей от несанкционированного использования или раскрытия (что представляет собой компрометацию). Подписчики должны прекратить использование любых секретных ключей, о которых известно или подозревается взлом.

    Сертификаты должны использоваться в соответствии с их назначением, указанным в данном CPS и соответствующем CP. Подписчики должны прекратить использование сертификатов не по прямому назначению.

    4.5.2 Использование открытого ключа и сертификата проверяющей стороны

    Доверяющие стороны должны полностью оценить контекст, в котором они полагаются на сертификаты и информацию, содержащуюся в них, и решить, в какой степени риск доверия является приемлемым. Если риск полагаться на сертификат будет признан неприемлемым, то доверяющие стороны не должны использовать сертификат или должны получить дополнительные гарантии перед использованием сертификата.

    ISRG не гарантирует, что любое программное обеспечение, используемое Доверяющими сторонами для оценки или иной обработки сертификатов, работает должным образом.

    Проверяющие стороны, игнорируя истечение срока действия сертификата, данные об отзыве, предоставленные через OCSP или CRL, или другую соответствующую информацию, делают это на свой страх и риск.

    4.6 Продление сертификата

    Запросы на обновление сертификатов рассматриваются как заявки на новые сертификаты.

    4.6.1 Обстоятельства для продления сертификата

    Без оговорок.

    4.6.2 Кто может запросить продление

    Без оговорок.

    4.6.3 Обработка запросов на обновление сертификатов

    Без оговорок.

    4.6.4 Уведомление абонента о выдаче нового сертификата

    Без оговорок.

    4.6.5 Действия по принятию свидетельства о продлении

    Без оговорок.

    4.6.6 Публикация сертификата обновления центром сертификации

    Без оговорок.

    4.6.7 Уведомление о выдаче сертификата ЦС другим объектам

    Без оговорок.

    4.7 Повторный ключ сертификата

    Запросы на смену ключей сертификатов рассматриваются как заявки на новые сертификаты.

    4.7.1 Обстоятельства для смены ключа сертификата

    Без оговорок.

    4.7.2 Кто может запросить сертификацию нового открытого ключа

    Без оговорок.

    4.7.3 Обработка запросов на смену ключей сертификатов

    Без оговорок.

    4.7.4 Уведомление подписчика о выдаче нового сертификата

    Без оговорок.

    4.7.5 Действия по принятию сертификата с измененным ключом

    Без оговорок.

    4.7.6 Публикация сертификата с повторным ключом CA

    Без оговорок.

    4.7.7 Уведомление о выдаче сертификата ЦС другим объектам

    Без оговорок.

    4.8 Изменение сертификата

    Запросы на изменение сертификатов рассматриваются как заявки на новые сертификаты.

    4.8.1 Обстоятельства для изменения сертификата

    Без оговорок.

    4.8.2 Кто может запрашивать изменение сертификата

    Без оговорок.

    4.8.3 Обработка запросов на изменение сертификата

    Без оговорок.

    4.8.4 Уведомление абонента о выдаче нового сертификата

    Без оговорок.

    4.8.5 Порядок принятия измененного сертификата

    Без оговорок.

    4.8.6 Публикация измененного сертификата центром сертификации

    Без оговорок.

    4.8.7 Уведомление о выдаче сертификата ЦС другим объектам

    Без оговорок.

    4.9 Отзыв и приостановка сертификата

    При отзыве сертификата окончательно заканчивается срок действия сертификата до истечения указанного срока действия.

    4.9.1 Обстоятельства отзыва

    ISRG будет следовать ISRG CP и отозвать сертификат в соответствии с разделом 4.9.1.1 и разделом 4.9.1.2 ISRG CP.

    ISRG поддерживает непрерывную (24x7x365) возможность принимать и отвечать на запросы отзыва и связанные запросы.

    4.9.2 Кто может запросить отзыв

    Любой может отозвать любой сертификат через ACME API, если он может подписать запрос на отзыв закрытым ключом, связанным с сертификатом. Никакой другой информации в таких случаях не требуется. Некоторые клиенты ACME поддерживают эту функцию.

    Любой может отозвать любой сертификат через ACME API, если сможет продемонстрировать контроль над всеми доменами, на которые распространяется этот сертификат. Никакой другой информации в таких случаях не требуется. Некоторые клиенты ACME поддерживают эту функцию.

    Подписчики могут отозвать сертификаты, принадлежащие их учетным записям, через ACME API, если они могут подписать запрос на отзыв с помощью соответствующего закрытого ключа учетной записи. Никакой другой информации в таких случаях не требуется. Это поддерживает ряд клиентов ACME.

    Сертификаты могут быть отозваны в административном порядке ISRG, если будет установлено, что подписчик не выполнил обязательства согласно CP, настоящему CPS, соответствующему Соглашению с подписчиком или любому другому применимому соглашению, постановлению или закону. Сертификаты также могут быть отозваны в административном порядке по усмотрению руководства ISRG.

    4.9.3 Процедура запроса отзыва

    Запросы на отзыв могут быть сделаны в любое время через ACME API. Успешные запросы на отзыв с кодом причины keyCompromise приведут к тому, что затронутый ключ будет заблокирован для выпуска в будущем, и все действующие в настоящее время сертификаты с этим ключом будут отозваны.

    Запросы на отзыв можно также направить по электронной почте cert-prob-reports@letsencrypt.org . ISRG ответит на такие запросы в течение 24 часов, хотя расследование законности запроса может занять больше времени.

    Расследование того, оправдан ли отзыв или другие соответствующие действия, будет основано как минимум на следующих критериях:

    1. Характер предполагаемой проблемы;
    2. Количество отчетов о проблемах с сертификатами, полученных для конкретного сертификата или подписчика;
    3. Лицо, подавшее жалобу; и
    4. Соответствующее законодательство.

    4.9.4 Льготный период запроса на отзыв

    Для запроса отзыва нет льготного периода. Запрос на отзыв должен быть сделан сразу после подтверждения обстоятельств, требующих отзыва.

    4.9.5 Время, в течение которого CA должен обработать запрос на отзыв

    Расследование запроса об отзыве начнется в течение 24 часов с момента получения запроса.

    После принятия решения об отзыве сертификата отзыв будет произведен в течение 24 часов.

    4.9.6 Требование проверки отзыва для доверяющих сторон

    Проверяющие стороны, которые не могут или решили не проверять статус отзыва, но все равно решили полагаться на сертификат, делают это на свой страх и риск.

    См. Раздел 4.5.2.

    4.9.7 Частота выпуска CRL (если применимо)

    ISRG будет выпускать обновленные CRL для промежуточных сертификатов с частотой, превышающей или равной частоте, требуемой ISRG CP.

    ISRG не выдает CRL для сертификатов конечных объектов.

    4.9.8 Максимальная задержка для CRL (если применимо)

    Когда Проверяющая сторона запрашивает CRL, время получения ответа будет меньше десяти секунд при нормальных рабочих условиях.

    4.9.9 Возможность онлайн-отзыва / проверки статуса

    Информация об отзыве для всех сертификатов доступна через OCSP. Ответы OCSP доступны в любое время (24x7x365), если это возможно.

    4.9.10 Требования к проверке отзыва в режиме онлайн

    См. Раздел 4.9.6.

    4.9.11 Доступны другие формы объявлений об отзыве

    ISRG позволяет сшивать OCSP.

    4.9.12 Особые требования в отношении компрометации ключей

    Без оговорок.

    4.9.13 Обстоятельства приостановки

    ISRG не приостанавливает действие сертификатов.

    4.9.14 Кто может запросить блокировку

    Непригодный.

    4.9.15 Процедура запроса приостановки

    Непригодный.

    4.9.16 Ограничения на период приостановки

    Непригодный.

    4.10 Службы статуса сертификата

    4.10.1 Рабочие характеристики

    Записи CRL для промежуточных сертификатов будут оставаться на месте до истечения срока действия сертификатов. ISRG не предоставляет списки отзыва сертификатов для сертификатов конечных объектов.

    Ответы OCSP будут доступны для всех сертификатов с истекшим сроком действия.

    4.10.2 Доступность услуги

    Все службы статуса сертификатов доступны в любое время (24x7x365), если это возможно.

    4.10.3 Дополнительные функции

    Без оговорок.

    4.11 Окончание подписки

    Подписка подписчика заканчивается после того, как все сертификаты ISRG подписчика истекли или были отозваны.

    До истечения срока действия сертификата подписчика ISRG может отправить подписчику уведомление о приближающемся истечении срока действия сертификата, если был указан контактный адрес электронной почты.

    4.12 Передача ключей и восстановление

    4.12.1 Политика и практика условного депонирования и восстановления ключей

    Непригодный.

    4.12.2 Политика и практика инкапсуляции и восстановления сеансового ключа

    Непригодный.

    5. ОБЪЕКТЫ, УПРАВЛЕНИЕ И ОПЕРАЦИОННЫЙ КОНТРОЛЬ

    5.1 Физический контроль

    5.1.1 Расположение и конструкция площадки

    ISRG Secure PKI находится в США, как и все копии корневого и промежуточного закрытых ключей CA.

    ISRG постоянно поддерживает как минимум два объекта Secure PKI для обеспечения избыточности.

    Защищенные объекты PKI сконструированы таким образом, чтобы предотвратить несанкционированный доступ или вмешательство.

    Защищенные объекты PKI постоянно контролируются (24x7x365), чтобы предотвратить несанкционированный доступ или вмешательство.

    5.1.2 Физический доступ

    Физический доступ к защищенным инфраструктурам PKI ISRG ограничен уполномоченными сотрудниками ISRG, поставщиками и подрядчиками, которым доступ требуется для выполнения их работы. Ограничения доступа строго соблюдаются с помощью механизмов многофакторной аутентификации.

    5.1.3 Электроэнергия и кондиционер

    Резервные источники питания доступны на каждом объекте Secure PKI и разработаны с учетом операционных требований ISRG.

    Системы кондиционирования воздуха на каждом объекте Secure PKI разработаны в соответствии с эксплуатационными требованиями ISRG.

    5.1.4 Воздействие воды

    Инфраструктура ISRG Secure PKI предназначена для защиты инфраструктуры ISRG от воздействия воды / повреждений.

    5.1.5 Противопожарная защита и защита

    Средства безопасности ISRG Secure PKI предназначены для предотвращения возгорания и, при необходимости, тушения.

    5.1.6 Хранение мультимедиа

    Средства ISRG Secure PKI предназначены для предотвращения случайного повреждения или несанкционированного доступа к средствам массовой информации.

    5.1.7 Удаление отходов

    ISRG запрещает любым носителям, которые содержат или содержали конфиденциальные данные, выходить из-под контроля организации в таком состоянии, что они могут оставаться работоспособными или содержать восстанавливаемые данные. Такие носители могут включать в себя печатные документы или цифровые запоминающие устройства. Когда срок службы носителя, который содержал конфиденциальную информацию, истекает, он физически уничтожается, поэтому восстановление считается невозможным.

    5.1.8 Внешнее резервное копирование

    ISRG поддерживает несколько резервных копий закрытых ключей на нескольких объектах Secure PKI. Все резервные копии хранятся на устройствах, отвечающих критериям FIPS 140 уровня 3.

    5.2 Процедурный контроль

    5.2.1 Надежные роли

    Все лица, сотрудники или иные лица, способные существенно повлиять на работу систем и служб ISRG PKI или возможность просматривать конфиденциальную информацию ЦС, должны делать это, будучи обозначенными как выполняющие доверенную роль.

    Доверенные роли включают, но не ограничиваются:

    • Управление
      • Может просматривать конфиденциальную информацию, но не может напрямую влиять на работу центра сертификации. Сильный авторитет в принятии решений.
    • Офицеры безопасности
      • Может просматривать конфиденциальную информацию, но не может напрямую влиять на работу центра сертификации. Сильный авторитет в принятии решений.
    • Системные администраторы
      • Может просматривать конфиденциальную информацию и напрямую влиять на работу центра сертификации. Полномочия по принятию решений ограничены.
    • Инженерные связи
      • Может просматривать конфиденциальную информацию, но не может напрямую влиять на работу центра сертификации. Нет полномочий принимать решения.

    Каждая доверенная роль требует соответствующего уровня подготовки и юридических обязательств.

    5.2.2 Количество людей, необходимое для выполнения задачи

    Для выполнения ряда задач, таких как генерация ключей и вход в области, физически содержащие работающие системы ISRG PKI, требуется присутствие как минимум двух человек с доверенными ролями.

    5.2.3 Идентификация и аутентификация для каждой роли

    Любой человек, выполняющий работу в доверенной роли, должен идентифицировать и аутентифицировать себя перед доступом к системам ISRG PKI или конфиденциальной информации.

    5.2.4 Роли, требующие разделения обязанностей

    Никто, имеющий возможность развертывать программное обеспечение в системах ISRG PKI (например, системные администраторы), не может иметь возможность фиксировать код для основного программного обеспечения CA. Обратное также верно.

    5.3 Контроль персонала

    5.3.1 Требования к квалификации, опыту и допуску

    Руководство ISRG несет ответственность за то, чтобы доверенные участники были заслуживающими доверия и компетентными, что включает в себя наличие надлежащей квалификации и опыта.

    Руководство ISRG обеспечивает это с помощью соответствующей практики собеседований, обучения, проверки биографических данных, а также регулярного мониторинга и проверки эффективности работы доверенного участника.

    5.3.2 Процедуры проверки биографических данных

    Доверенные участники должны пройти проверку биографических данных перед тем, как приступить к выполнению доверенной роли. Руководство ISRG рассмотрит результаты проверки биографических данных на предмет проблемных вопросов до утверждения выполнения доверенной роли.

    Проверка биографических данных включает, помимо прочего, наличие криминального прошлого и трудового стажа.

    5.3.3 Требования к обучению

    Доверенные участники должны пройти обучение по темам, относящимся к той роли, в которой они будут выполнять.

    Программы обучения разрабатываются для каждой должности руководством ISRG и сотрудниками службы безопасности.

    5.3.4 Частота переподготовки и требования

    Обучение повторяется для каждого доверенного участника на ежегодной основе и повторно охватывает все темы, относящиеся к его доверенной роли.

    Обучение также предлагается всякий раз, когда этого требуют изменения в отрасли или операциях, чтобы участники могли компетентно выполнять свои доверенные роли.

    5.3.5 Частота и последовательность смены заданий

    Без оговорок.

    5.3.6 Санкции за несанкционированные действия

    Будут предприняты действия для защиты ISRG и его подписчиков, когда доверенные участники ISRG по халатности или злому умыслу не соблюдают политики ISRG, включая настоящую CPS.

    Действия, предпринятые в ответ на несоблюдение требований, могут включать в себя прекращение действия, снятие с доверенных ролей или сообщение юридическим органам.

    Как только руководство узнает о несоблюдении требований, соответствующие доверенные участники будут удалены из доверенных ролей до завершения проверки их действий.

    5.3.7 Требования к независимому подрядчику

    Независимые подрядчики, назначенные для выполнения доверенных ролей, подчиняются обязанностям и требованиям, указанным для таких ролей в настоящей CPS и сопутствующей CP. Это включает те, что описаны в Разделе 5.3. Возможные санкции за несанкционированные действия независимых подрядчиков описаны в Разделе 5.3.6.

    5.3.8 Документация, предоставляемая персоналу

    Надежным участникам предоставляется вся документация, необходимая для выполнения своих обязанностей. Это всегда включает, как минимум, копию ISRG CP, CPS и Политику информационной безопасности.

    5.4 Процедуры ведения журнала аудита

    5.4.1 Типы записываемых событий

    Журналы аудита создаются для всех событий, связанных с безопасностью CA (физической и логической) и выдачей сертификатов. По возможности журналы создаются автоматически. Когда необходимо вручную регистрировать информацию, журналы хранятся на бумаге с письменным подтверждением свидетеля и хранятся в надежном месте. Все журналы аудита, электронные или иные, должны храниться и предоставляться аудиторам соответствия по запросу.

    Как минимум, каждая запись аудита включает:

    • Дата и время въезда;
    • Личность человека (или машины), производящего запись; и
    • Описание записи.

    5.4.2 Периодичность обработки журнала

    Без оговорок.

    5.4.3 Срок хранения журнала аудита

    Журналы аудита хранятся не менее семи лет и будут предоставлены аудиторам соответствия по запросу.

    5.4.4 Защита журнала аудита

    Журналы аудита, будь то производственные или архивные, защищены с помощью средств управления физическим и логическим доступом.

    5.4.5 Процедуры резервного копирования журнала аудита

    ISRG делает регулярные резервные копии журналов аудита. Резервные копии журнала аудита отправляются в безопасное внешнее хранилище не реже одного раза в месяц.

    5.4.6 Система сбора аудита (внутренний или внешний)

    Данные аудита автоматически генерируются и регистрируются / регистрируются операционными системами, программными приложениями CA и сетевыми устройствами. Существуют системы для обеспечения надлежащей отчетности и записи данных аудита, и отказ таких систем может привести к приостановке услуг CA до тех пор, пока не будет восстановлена ​​надлежащая отчетность журнала аудита.

    5.4.7 Уведомление субъекта, вызвавшего событие

    Без оговорок.

    5.4.8 Оценка уязвимости

    Журналы аудита контролируются доверенными участниками, включая технический и технический персонал. Об аномалиях, указывающих на попытки нарушения безопасности ЦС, сообщается и расследуется.

    Автоматическое сканирование внутренних и внешних уязвимостей выполняется не реже одного раза в две недели, а чаще - каждую неделю.

    Обширная оценка уязвимости инфраструктуры ISRG проводится квалифицированными третьими сторонами не реже одного раза в год.

    Офицеры безопасности ISRG проводят оценку рисков не реже одного раза в год. Эта оценка риска:

    1. Выявляет предсказуемые внутренние и внешние угрозы, которые могут привести к несанкционированному доступу, раскрытию, неправильному использованию, изменению или уничтожению любых данных сертификатов или процессов управления сертификатами;

    2. Оценивает вероятность и потенциальный ущерб от этих угроз, принимая во внимание конфиденциальность данных сертификатов и процессов управления сертификатами; и

    3. Оценивает достаточность политик, процедур, информационных систем, технологий и других механизмов, которые CA использует для противодействия таким угрозам.

    5.5 Архивирование записей

    5.5.1 Типы архивируемых записей

    ISRG архивирует все журналы аудита, содержание которых описано в Разделе 5.4.1. ISRG может также архивировать любую другую информацию, которая считается критически важной для понимания исторического выполнения обязанностей CA.

    5.5.2 Срок хранения в архиве

    ISRG сохраняет всю документацию, относящуюся к запросам сертификатов и их проверке, а также все сертификаты и их отзыв в течение как минимум семи лет после того, как любой сертификат, основанный на этой документации, утратит силу.

    5.5.3 Защита архива

    Архивы защищены от несанкционированного изменения или уничтожения с помощью строгих мер безопасности и экологического контроля на первичных и внешних хранилищах.

    5.5.4 Процедуры резервного копирования архива

    Резервные копии архивов создаются как на первичных объектах CA, так и на безопасных сторонних объектах.

    5.5.5 Требования к отметкам времени в записях

    Записи получают отметку времени по мере их создания.

    В записях, созданных машиной, используется системное время, которое автоматически синхронизируется со сторонними источниками времени. На машинах без доступа к сети время устанавливается вручную.

    В ручных записях используются дата и время, введенные вручную, с указанием часового пояса.

    5.5.6 Система сбора архивов (внутренняя или внешняя)

    Без оговорок.

    5.5.7 Процедуры получения и проверки архивной информации

    Без оговорок.

    5.6 Смена ключа

    Когда срок действия сертификата CA приближается к истечению, используется процедура смены ключа для перехода на новый сертификат CA. Следующие шаги составляют ключевую процедуру переключения:

    1. За некоторое время до истечения срока действия сертификата CA закрытый ключ, связанный с истекающим сертификатом, больше не используется для подписи новых сертификатов. Он используется только для подписи CRL и ответов OCSP.

    2. Создается новая пара ключей, и создается новый сертификат CA, содержащий открытый ключ новой пары ключей. Эта новая пара ключей используется для подписи новых сертификатов.

    3. Если необходимо или желательно, старый закрытый ключ, связанный с истекающим сертификатом, может использоваться для перекрестной подписи нового сертификата.

    5.7 Компрометация и аварийное восстановление

    5.7.1 Процедуры обработки инцидентов и компромиссов

    ISRG разработала и поддерживает процедуры реагирования на инциденты для целого ряда потенциальных угроз и аварийных ситуаций. Такие ситуации включают в себя, помимо прочего, стихийные бедствия, нарушения безопасности и отказ оборудования. Планы реагирования на инциденты пересматриваются, потенциально обновляются и тестируются не реже одного раза в год.

    5.7.2 Вычислительные ресурсы, программное обеспечение и / или данные повреждены

    В случае, если вычислительные ресурсы, программное обеспечение и / или данные повреждены или иным образом повреждены, ISRG оценит ситуацию, в том числе ее влияние на целостность и безопасность CA, и предпримет соответствующие действия. Операции ЦС могут быть приостановлены до завершения устранения последствий. Подписчики могут быть уведомлены, если коррупция или повреждение существенно повлияют на предоставляемые им услуги.

    5.7.3 Процедуры компрометации закрытого ключа объекта

    В случае взлома закрытого ключа CA или подозрения на его компрометацию ISRG немедленно приступит к тщательному расследованию. Криминалистические доказательства будут собраны и сохранены как можно быстрее. Если невозможно определить с высокой степенью уверенности, что данный закрытый ключ не был скомпрометирован, тогда могут быть предприняты следующие шаги в любом порядке, который сотрудники службы безопасности ISRG сочтут наиболее подходящим:

    • Сертификаты, использующие указанный закрытый ключ, будут отозваны.
    • ISRG будет уведомлять корневые программы, полагаясь на целостность рассматриваемого ключа.
    • ISRG будет уведомлять подписчиков, полагаясь на целостность рассматриваемого ключа.

    5.7.4 Возможности обеспечения непрерывности бизнеса после аварии

    ISRG поддерживает несколько географически разнесенных объектов, каждое из которых способно управлять системами ISRG CA независимо. В случае, если катастрофа полностью отключит один объект, операции ISRG CA переключатся на другой объект.

    5.8 Завершение CA или RA

    В случае прекращения обслуживания ISRG CA:

    • Все затронутые стороны, включая корневые программы и подписчиков, будут уведомлены как можно раньше.
    • План прекращения будет создан и рассмотрен ISRG PMA.

    Если подходящая организация-преемник существует, будут предприняты следующие шаги:

    • Закрытые ключи CA, записи, журналы и другая важная документация будут переданы организации-преемнику безопасным и совместимым образом.
    • Будут приняты меры для продолжения выполнения обязательств СА.

    Если подходящего правопреемника не существует, будут предприняты следующие шаги:

    • Все выданные сертификаты будут отозваны, и окончательные CRL будут опубликованы.
    • Закрытые ключи CA будут уничтожены.
    • Записи, журналы и другая критически важная документация CA будут переданы третьей стороне или государственному учреждению с соответствующими правовыми средствами контроля для защиты информации, позволяя ее использование в соответствии с соответствующими политиками и законодательством.

    6. КОНТРОЛЬ ТЕХНИЧЕСКОЙ БЕЗОПАСНОСТИ

    6.1 Создание и установка пары ключей

    6.1.1 Генерация пары ключей

    Закрытые ключи CA генерируются модулями HSM, отвечающими требованиям раздела 6.2.1. Это происходит во время церемонии, отвечающей требованиям данной CPS и сопутствующей CP.

    Пары ключей подписчика генерируются и управляются подписчиками. Создание и управление парами ключей подписчика должно выполняться в соответствии с условиями Соглашения с подписчиком CA и разделом 9.6.3 ISRG CPS.

    6.1.2 Доставка закрытого ключа подписчику

    ISRG никогда не создает и не имеет доступа к закрытым ключам подписчика.

    6.1.3 Доставка открытого ключа издателю сертификата

    Открытые ключи подписчика передаются в ISRG в электронном виде через протокол ACME.

    6.1.4 Доставка открытого ключа CA проверяющим сторонам

    Открытые ключи ISRG предоставляются Доверяющим сторонам как часть списков доверенных корневых сертификатов браузера, операционной системы или другого программного обеспечения.

    Открытые ключи ISRG также доступны на веб-сайтах ISRG, таких как letsencrypt.org .

    6.1.5 Размеры ключей

    Корневые закрытые ключи ISRG CA - это ключи RSA длиной не менее 4096 бит.

    Промежуточные закрытые ключи ISRG CA - это ключи RSA длиной не менее 2048 бит.

    6.1.6 Генерация параметров открытого ключа и проверка качества

    ISRG использует модули HSM, соответствующие FIPS 186-4, способные обеспечивать генерацию случайных чисел и создание на борту не менее 2048-битных ключей RSA.

    Согласно разделу 5.3.3, NIST SP 800-89, CA гарантирует, что публичный показатель ключей RSA для сертификатов DV-SSL находится в диапазоне от 2 16 +1 до 2 256 -1. Модули представляют собой нечетное число, а не степень простого числа, и их множители не меньше 752.

    6.1.7 Цели использования ключа (согласно полю использования ключа X.509 v3)

    См. Раздел 7, Профили сертификатов.

    6.2 Защита закрытого ключа и инженерный контроль криптографического модуля

    6.2.1 Стандарты и средства управления криптографическими модулями

    ISRG использует HSM, отвечающий требованиям FIPS 140-2 уровня 3 (или выше).

    6.2.2 Закрытый ключ (n из m) управление несколькими людьми

    ISRG внедрила механизмы безопасности, которые требуют, чтобы несколько человек выполняли доверенные роли, чтобы получить физический и логический доступ к закрытым ключам CA. Это верно для всех копий закрытых ключей, находящихся в производстве или резервных копиях, на месте или за его пределами.

    6.2.3 Депонирование закрытого ключа

    ISRG не передает закрытые ключи CA и не предоставляет такую ​​услугу для подписчиков.

    6.2.4 Резервное копирование закрытого ключа

    Резервное копирование важных закрытых ключей ISRG выполняется как на месте, так и за его пределами, в нескольких географических точках и под контролем нескольких человек.

    6.2.5 Архивирование закрытого ключа

    ISRG не архивирует закрытые ключи.

    6.2.6 Передача закрытого ключа в криптографический модуль или из него

    Закрытые ключи ISRG CA генерируются внутри HSM и передаются между HSM только в целях резервирования или резервного копирования. При передаче ключи шифруются до выхода из HSM и разворачиваются только внутри целевых HSM. Ключи никогда не существуют в виде обычного текста вне HSM.

    6.2.7 Хранение закрытых ключей в криптографическом модуле

    Закрытые ключи ISRG CA хранятся в HSM, отвечающих требованиям, изложенным в разделе 6.2.1.

    6.2.8 Способ активации закрытого ключа

    Закрытые ключи ISRG CA всегда хранятся в модулях HSM и активируются с помощью механизмов, предоставленных производителем HSM. Данные активации и устройства защищены.

    6.2.9 Способ деактивации приватного ключа

    Закрытые ключи ISRG CA всегда хранятся в HSM и деактивируются с помощью механизмов, предоставленных производителем HSM.

    6.2.10 Метод уничтожения закрытого ключа

    Закрытые ключи ISRG CA уничтожаются доверенными участниками с использованием проверенного метода обнуления FIPS 140-2 (или выше), предоставляемого HSM, хранящим ключи. Физического разрушения HSM не требуется.

    Подписчики обязаны безопасно уничтожать закрытые ключи, когда они больше не должны использоваться, в большинстве случаев путем безопасного удаления всех копий файлов закрытых ключей с носителей.

    6.2.11 Рейтинг криптографического модуля

    См. Раздел 6.2.1.

    6.3 Другие аспекты управления ключевыми парами

    6.3.1 Архивирование открытого ключа

    См. Раздел 5.5.

    6.3.2 Периоды работы сертификата и периоды использования пары ключей

    Срок службы сертификатов корневого центра сертификации ISRG указан в разделе 1.1. Соответствующие пары ключей имеют одинаковое время жизни.

    Сертификаты конечных объектов, выдаваемые ISRG подписчикам, должны иметь срок действия менее 100 дней. Пары ключей подписчика могут использоваться повторно на неопределенный срок при отсутствии подозрений или подтверждений компрометации закрытого ключа.

    6.4 Данные активации

    6.4.1 Создание и установка данных активации

    Данные активации, используемые для активации закрытых ключей CA, генерируются во время церемонии ключа. Данные активации передаются лицу, которое будет их использовать или будет хранить в безопасном месте.

    6.4.2 Защита данных активации

    Данные активации защищены от несанкционированного раскрытия с помощью комбинации физических и логических средств.

    6.4.3 Другие аспекты данных активации

    Без оговорок.

    6.5 Контроль компьютерной безопасности

    6.5.1 Особые технические требования к компьютерной безопасности

    Инфраструктура и системы CA ISRG должным образом защищены, чтобы защитить программное обеспечение и данные CA от несанкционированного доступа или модификации. Доступ к системам по возможности защищен многофакторной аутентификацией. Обновления безопасности применяются своевременно. Сканирование уязвимостей выполняется регулярно.

    6.5.2 Рейтинг компьютерной безопасности

    Без оговорок.

    6.6 Технический контроль жизненного цикла

    6.6.1 Контроль разработки системы

    ISRG разработала политику и процедуры для эффективного управления приобретением и развитием своих систем CA.

    Аппаратное и программное обеспечение ISRG CA предназначено исключительно для выполнения функций CA.

    Выбор поставщика включает оценку репутации на рынке, возможность предоставить качественный продукт, историю уязвимостей и вероятность сохранения жизнеспособности в будущем. Покупки совершаются таким образом, что раскрывается как можно меньше информации о будущем использовании продуктов. Физические поставки продуктов принимаются Доверенными участниками и проверяются на предмет подделки. Модули HSM поставляются в упаковке с защитой от вскрытия, а серийные номера пакетов подтверждаются поставщиком при получении.

    ISRG поддерживает среду тестирования CA отдельно от производственной среды. Среда тестирования максимально соответствует производственной среде, но не имеет доступа к закрытым ключам CA, используемым в доверенных сертификатах. Цель этой платформы тестирования - обеспечить обширное, но безопасное тестирование программного обеспечения и систем, которые развернуты или будут развернуты в производственной среде CA.

    ISRG разработала и поддерживает соответствующие политики и процедуры контроля изменений, которым необходимо следовать при каждом изменении систем CA. Изменения в системах ISRG CA требуют проверки квалифицированным доверенным персоналом, который отличается от лица, запрашивающего изменение. Запросы на изменение документируются, как и любые последующие необходимые проверки или утверждения.

    Когда ISRG разрабатывает программное обеспечение, которое будет использоваться в операциях CA, применяются политики разработки программного обеспечения и соблюдаются методологии, чтобы гарантировать качество и целостность программного обеспечения. Это всегда включает требование коллегиальной проверки изменений кода. Настоятельно рекомендуется модульное тестирование. Права на фиксацию кода предоставляются только квалифицированным и доверенным участникам. Никто, имеющий возможность развертывать программное обеспечение в системах ISRG PKI (например, системные администраторы), не может иметь возможность фиксировать код для основного программного обеспечения CA. Обратное также верно.

    6.6.2 Средства управления безопасностью

    ISRG имеет механизмы для контроля и мониторинга конфигурации систем CA, связанных с безопасностью. Оборудование и программное обеспечение устанавливаются и настраиваются с использованием документированного процесса управления изменениями. Целостность программного обеспечения проверяется при развертывании с использованием контрольных сумм.

    6.6.3 Меры безопасности жизненного цикла

    Без оговорок.

    6.7 Меры безопасности сети

    ISRG реализует разумные меры безопасности и средства контроля сетевой безопасности для предотвращения несанкционированного доступа к системам и инфраструктуре CA. Сеть ISRG является многоуровневой и использует принцип глубокой защиты.

    Брандмауэры и другие критически важные системы CA по возможности настраиваются на основе политики белого списка только необходимого трафика.

    Закрытые ключи корневого центра сертификации ISRG надежно хранятся в автономном режиме.

    6.8 Отметка времени

    См. Раздел 5.5.5.

    7. СЕРТИФИКАТ, CRL И ПРОФИЛИ OCSP

    7.1 Профиль сертификата

    Все поля указаны в RFC5280, включая поля и расширения, специально не упомянутые. Расширения не помечаются как критические, если они специально не описаны здесь как критические.

    Сертификат корневого ЦС

    Поле или расширение Стоимость
    Серийный номер Должен быть уникальным, с 64-битным выводом из CSPRNG
    Отличительное имя эмитента C = США, O = Исследовательская группа Интернет-безопасности, CN = ISRG Root X <n>,
    где n - целое число, представляющее экземпляр
    сертификата корневого центра сертификации. Например, ISRG Root X1, ISRG Root X2 и т. Д.
    Отличительное имя субъекта То же, что и DN эмитента
    Срок годности До 25 лет
    Основные ограничения Критический.
    cA = True, ограничение pathLength отсутствует
    Ключевое использование Критический.
    keyCertSign, cRLSign

    Промежуточный сертификат CA

    Поле или расширение Стоимость
    Серийный номер Должен быть уникальным, с 64-битным выводом из CSPRNG
    Отличительное имя эмитента Получено из сертификата эмитента
    Отличительное имя субъекта C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X <n>,
    где n - целое число, представляющее экземпляр сертификата подчиненного CA
    Срок годности До 8 лет
    Основные ограничения Критический.
    cA = True, ограничение pathLength 0
    Ключевое использование Критический.
    keyCertSign, cRLSign, digitalSignature
    Расширенное использование ключа Проверка подлинности сервера TLS, проверка подлинности клиента TLS
    Политики сертификатов CAB Forum Domain Validated (2.23.140.1.2.1)
    ISRG Domain Validated (1.3.6.1.4.1.44947.1.1.1)
    Policy Qualifier Id = CPS
    Qualifier: Pointer to this CPS
    Доступ к информации о полномочиях Содержит URL-адрес CA Issuers и OCSP URL. URL-адреса различаются в зависимости от эмитента.
    Точки распространения CRL Содержит URL-адрес CRL. URL-адрес зависит от эмитента.

    Сертификат конечного объекта DV-SSL

    Поле или расширение Стоимость
    Серийный номер Должен быть уникальным, с 64-битным выводом из CSPRNG
    Отличительное имя эмитента Получено из сертификата эмитента
    Отличительное имя субъекта CN = одно из значений из расширения альтернативного имени субъекта
    Срок годности 90 дней
    Основные ограничения Критический.
    cA = ложь
    Ключевое использование Критический.
    digitalSignature, keyEncipherment
    Расширенное использование ключа Проверка подлинности сервера TLS, проверка подлинности клиента TLS
    Политики сертификатов Подтвержден домен форума CAB (2.23.140.1.2.1) Подтвержден
    домен ISRG (1.3.6.1.4.1.44947.1.1.1)
    Квалификатор CPS: указатель на этот CPS
    Доступ к информации о полномочиях Содержит URL-адрес CA Issuers и OCSP URL. URL-адреса различаются в зависимости от эмитента.
    Открытый ключ субъекта RSA с модулем от 2048 до 4096 включительно; или namedCurve P-256; или namedCurve P-384
    Альтернативное имя субъекта Последовательность от 1 до 100 dNSNames
    Функция TLS Содержит status_request, если он запрошен подписчиком в CSR
    Предварительный сертификат яд Согласно RFC 6962. Только в предварительных сертификатах.
    Подписанный список отметок времени сертификата Согласно RFC 6962. Только в окончательных сертификатах.

    Корневой сертификат подписи OCSP

    Эти сертификаты, подписанные сертификатом корневого ЦС, подписывают ответы OCSP для сертификатов промежуточного ЦС.

    Поле или расширение Стоимость
    Серийный номер Должен быть уникальным, с 64-битным выводом из CSPRNG
    Отличительное имя эмитента C = США, O = Исследовательская группа по интернет-безопасности, CN = ISRG Root X <n>
    Отличительное имя субъекта C = США, O = Исследовательская группа по интернет-безопасности, CN = ISRG Root OCSP X <n>
    Срок годности 5 лет
    Основные ограничения Критический.
    cA = ложь
    Ключевое использование Критический.
    цифровой подписи
    Расширенное использование ключа Критический.
    OCSPSigning
    Нет проверки настоящее время

    7.1.1 Номер (а) версии

    Все сертификаты используют X.509 версии 3.

    7.1.2 Расширения сертификатов

    См. Раздел 7.1.

    7.1.3 Идентификаторы объекта алгоритма

    название Идентификатор объекта
    sha256WithRSAEncryption 1.2.840.113549.1.1.11

    7.1.4 Формы имени

    См. Политику сертификатов ISRG.

    7.1.5 Ограничения имени

    Без оговорок.

    7.1.6 Идентификатор объекта политики сертификатов

    См. Раздел 7.1.

    7.1.7 Использование расширения ограничений политики

    Непригодный.

    7.1.8 Синтаксис и семантика квалификаторов политики

    См. Раздел 7.1.

    7.1.9 Семантика обработки для критического расширения политик сертификатов

    Непригодный.

    7.2 Профиль CRL

    Поле или расширение Стоимость
    Версия V2
    Алгоритм подписи sha256WithRSAEncryption
    Это обновление Дата и время, когда был выпущен список отзыва сертификатов.
    NextUpdate ThisUpdate + 30 дней
    Отозванные сертификаты Содержит: userCertificate, revocationDate, reasonCode.
    CRL номер Серийный номер этого CRL в постепенно увеличивающейся последовательности CRL.

    7.2.1 Номер (а) версии

    См. Раздел 7.2.

    7.2.2 CRL и расширения записей CRL

    Без оговорок.

    7.3 Профиль OCSP

    Ответчики ISRG OCSP реализуют профиль RFC 5019 из RFC 6960.

    7.3.1 Номер (а) версии

    Без оговорок.

    7.3.2 Расширения OCSP

    Без оговорок.

    8. АУДИТ СООТВЕТСТВИЯ И ДРУГИЕ ОЦЕНКИ

    Аудиты соответствия WebTrust предназначены для обеспечения соответствия ЦС своим CP и CPS и соответствующим критериям аудита WebTrust.

    8.1 Частота или обстоятельства оценки

    Сроки аудита соответствия WebTrust охватывают не более одного года и планируются ISRG ежегодно, каждый год без перерывов.

    См. Раздел 8.7 для получения информации о частоте самоаудитов.

    8.2 Личность / квалификация оценщика

    Аудиты соответствия WebTrust, проводимые ISRG, проводятся квалифицированным аудитором. Квалифицированный аудитор означает физическое, юридическое лицо или группу физических или юридических лиц, которые в совокупности обладают следующей квалификацией и навыками:

    1. Независимость от объекта аудита (ISRG);
    2. Способность проводить аудит по соответствующим критериям
    3. Нанимает лиц, которые имеют опыт изучения технологии инфраструктуры открытых ключей, инструментов и методов информационной безопасности, информационных технологий и аудита безопасности, а также функции сторонней аттестации;
    4. (Для аудитов, проводимых в соответствии с любым из стандартов ETSI) аккредитованы в соответствии с ISO 17065, применяя требования, указанные в ETSI EN 319 403;
    5. (Для аудитов, проводимых в соответствии со стандартом WebTrust) по лицензии WebTrust;
    6. Связано законом, постановлением правительства или кодексом профессиональной этики; и
    7. За исключением внутреннего правительственного аудиторского агентства, обеспечивает страхование профессиональной ответственности / ошибок и пропусков с ограничениями по полису не менее одного миллиона долларов США на покрытие.

    8.3 Отношения оценщика с оцениваемым лицом

    Аудиторы ISRG WebTrust не должны иметь никакого финансового интереса или других отношений с ISRG, которые могут вызвать у аудиторов предубеждение за или против ISRG.

    8.4 Темы, охваченные оценкой

    Аудиты соответствия охватывают соблюдение ISRG требований ISRG CP и CPS, а также следующих принципов и критериев WebTrust:

    • Принципы и критерии для центров сертификации
    • Принципы и критерии WebTrust для центров сертификации - базовый уровень SSL с сетевой безопасностью

    8.5 Действия, предпринятые в результате недостатка

    Несоблюдение соответствующих требований будет задокументировано аудиторами (внутренними или внешними), ISRG PMA будет проинформирован, а ISRG PMA обеспечит принятие мер для решения проблем как можно быстрее.

    8.6 Сообщение результатов

    Результаты аудита сообщаются ISRG PMA и любой другой организации, имеющей право на получение результатов в соответствии с законом, постановлением или соглашением. Сюда входит ряд корневых программ веб-агента пользователя (т. Е. Браузера).

    ISRG не обязана публично раскрывать какие-либо результаты аудита, которые не влияют на общее мнение аудита.

    8.7 Самостоятельный аудит

    ISRG проводит ежеквартальный внутренний аудит не менее 3% от выпуска с момента последнего периода аудита WebTrust. Выборка выбирается случайным образом. Результаты сохраняются и предоставляются аудиторам по запросу.

    9. ПРОЧИЕ ДЕЛОВЫЕ И ЮРИДИЧЕСКИЕ ВОПРОСЫ

    9.1 Сборы

    9.1.1 Сборы за выдачу или продление сертификата

    ISRG не взимает плату за выдачу или продление сертификата.

    9.1.2 Плата за доступ к сертификату

    Без оговорок.

    9.1.3 Сборы за аннулирование или доступ к информации о статусе

    ISRG не взимает никаких сборов за отзыв сертификата или за проверку статуса действительности выданного сертификата с помощью CRL или OSCP.

    9.1.4 Плата за другие услуги

    Без оговорок.

    9.1.5 Политика возврата

    ISRG не взимает комиссию и не производит возмещения.

    9.2 Финансовая ответственность

    9.2.1 Страховая защита

    Без оговорок.

    9.2.2 Прочие активы

    Без оговорок.

    9.2.3 Страхование или гарантийное покрытие для конечных объектов

    Без оговорок.

    9.3 Конфиденциальность деловой информации

    9.3.1 Объем конфиденциальной информации

    Без оговорок.

    9.3.2 Информация, не относящаяся к конфиденциальной информации

    Без оговорок.

    9.3.3 Ответственность за защиту конфиденциальной информации

    Сотрудники, агенты и подрядчики ISRG несут ответственность за защиту конфиденциальной информации и связаны политиками ISRG в отношении обращения с конфиденциальной информацией или по контракту обязаны делать это. Сотрудники проходят обучение тому, как обращаться с конфиденциальной информацией.

    9.4 Конфиденциальность личной информации

    9.4.1 План конфиденциальности

    ISRG следует политике конфиденциальности, опубликованной на ее веб-сайте ( https://letsencrypt.org/repository/ ) при работе с личной информацией.

    9.4.2 Информация, рассматриваемая как частная

    Политика конфиденциальности, опубликованная на веб-сайте ISRG ( https://letsencrypt.org/repository/ ), определяет информацию, которую ISRG рассматривает как конфиденциальную.

    9.4.3 Информация не считается частной

    Политика конфиденциальности, размещенная на веб-сайте ISRG ( https://letsencrypt.org/repository/ ), определяет информацию, которую ISRG не рассматривает как конфиденциальную.

    9.4.4 Ответственность за защиту частной информации

    На сотрудников и подрядчиков ISRG распространяются политики или договорные обязательства, требующие от них соблюдения политики конфиденциальности ISRG ( https://letsencrypt.org/repository/ ) или договорных обязательств, по крайней мере, в той же степени, что и политика конфиденциальности ISRG по защите частной информации.

    ISRG следует политике конфиденциальности, опубликованной на ее веб-сайте ( https://letsencrypt.org/repository/ ), при использовании личной информации.

    9.4.6 Раскрытие информации в судебном или административном порядке

    ISRG может раскрыть личную информацию, если она будет вынуждена сделать это по решению суда или в рамках другого принудительного судебного процесса, при условии, что ISRG будет противодействовать такому раскрытию с помощью всех юридических и технических средств, разумно доступных ISRG.

    9.4.7 Иные обстоятельства раскрытия информации

    ISRG может раскрывать личную информацию при других обстоятельствах, которые описаны в политике конфиденциальности, опубликованной на ее веб-сайте ( https://letsencrypt.org/repository/ ).

    9.5 Права интеллектуальной собственности

    ISRG и / или его деловые партнеры владеют правами интеллектуальной собственности на услуги ISRG, включая сертификаты, товарные знаки, используемые при предоставлении услуг, и настоящую CPS. Информация о сертификате и отзыве является собственностью ISRG. ISRG предоставляет разрешение на воспроизведение и распространение сертификатов на неисключительной и безвозмездной основе при условии, что они воспроизводятся и распространяются в полном объеме. Закрытые и открытые ключи остаются собственностью Подписчиков, которые по праву владеют ими.

    Несмотря на вышесказанное, стороннее программное обеспечение (включая программное обеспечение с открытым исходным кодом), используемое ISRG для предоставления своих услуг, лицензировано, а не принадлежит ISRG.

    9.6 Заявления и гарантии

    9.6.1 Заявления и гарантии CA

    За исключением случаев, прямо указанных в настоящей CPS или в отдельном соглашении с подписчиком, ISRG не делает никаких заявлений или гарантий в отношении своих продуктов или услуг. ISRG заявляет и гарантирует, в пределах, указанных в настоящей CPS, что:

    1. ISRG соответствует во всех существенных аспектах CP и CPS,
    2. ISRG регулярно публикует и обновляет списки отзыва сертификатов и ответы OCSP,
    3. Все сертификаты, выданные в рамках этого CPS, будут проверены в соответствии с этим CPS и будут соответствовать минимальным требованиям, изложенным здесь и в Базовых требованиях CAB Forum, а также
    4. ISRG будет поддерживать репозиторий общедоступной информации на своем веб-сайте.

    9.6.2 Заявления и гарантии RA

    Каждый RA представляет и гарантирует, что:

    1. Услуги по выдаче сертификатов и управлению в РА соответствуют ISRG CP и настоящему CPS,
    2. Информация, предоставленная RA, не содержит ложной или вводящей в заблуждение информации,
    3. Переводы, выполненные RA, являются точным переводом исходной информации, и
    4. Все сертификаты, запрашиваемые РА, соответствуют требованиям настоящего CPS.

    Соглашение ISRG с RA может содержать дополнительные заверения и гарантии.

    9.6.3 Заявления и гарантии подписчика

    1. Каждый подписчик гарантирует ISRG и широкой общественности, что подписчик является законным владельцем доменного имени в Интернете, которое является или будет субъектом сертификата ISRG, выданного подписчику, или что подписчик является должным образом уполномоченным агентом. такого регистранта.
    2. Каждый Подписчик гарантирует ISRG и широкой общественности, что либо (а) Подписчик не получил контроль над таким доменным именем в результате захвата такого доменного имени, либо (б) такое доменное имя не использовалось на законных основаниях в настоящее время. время такого захвата.
    3. Каждый подписчик гарантирует, что вся информация в сертификате ISRG, выданном подписчику, относительно подписчика или его доменного имени, является точной, актуальной, надежной, полной и не вводящей в заблуждение.
    4. Каждый Подписчик гарантирует, что вся информация, предоставленная Подписчиком ISRG, является точной, актуальной, полной, надежной, полной и не вводящей в заблуждение.
    5. Каждый подписчик гарантирует, что подписчик по праву владеет закрытым ключом, соответствующим открытому ключу, указанному в сертификате ISRG, выданном подписчику.
    6. Каждый подписчик гарантирует, что подписчик предпринял все соответствующие, разумные и необходимые шаги для защиты и сохранения секретного ключа подписчика в секрете.
    7. Каждый подписчик признает и соглашается с тем, что ISRG имеет право отозвать сертификаты ISRG подписчика немедленно, если подписчик нарушает условия соглашения с подписчиком или если ISRG обнаруживает, что какой-либо из сертификатов ISRG подписчика используется для обеспечения преступной деятельности, такой как фишинговые атаки, мошенничество или распространение вредоносного ПО.

    9.6.4 Заверения и гарантии доверяющей стороны

    Каждая Проверяющая сторона заявляет и гарантирует, что, прежде чем полагаться на сертификат ISRG, она:

    1. Получил достаточные знания об использовании цифровых сертификатов и PKI,
    2. Изучил применимые ограничения на использование сертификатов и согласен с ограничениями ISRG в отношении своей ответственности, связанной с использованием сертификатов,
    3. Прочитал, понимает и соглашается с данной CPS,
    4. Проверил сертификат ISRG и сертификаты в цепочке сертификатов с помощью соответствующего CRL или OCSP,
    5. Не будет использовать сертификат ISRG, если срок действия сертификата истек или он был отозван, и
    6. Примет все разумные меры для сведения к минимуму риска, связанного с использованием цифровой подписи, включая использование сертификата ISRG только после рассмотрения:
      • Применимое законодательство и юридические требования для идентификации стороны, защиты конфиденциальности или конфиденциальности информации и обеспечения исковой силы сделки;
      • Предполагаемое использование сертификата, как указано в сертификате или данном CPS,
      • Данные, указанные в сертификате,
      • Экономическая ценность транзакции или коммуникации,
      • Потенциальные убытки или ущерб, которые могут быть вызваны ошибочной идентификацией или потерей конфиденциальности или конфиденциальности информации в приложении, транзакции или сообщении,
      • Предыдущие отношения Проверяющей стороны с подписчиком,
      • Понимание Проверяющей стороной торговли, включая опыт использования компьютерных методов торговли, и
      • Любые другие признаки надежности или ненадежности, относящиеся к подписчику и / или приложению, связи или транзакции.

    Любое несанкционированное использование сертификата осуществляется на свой страх и риск.

    9.6.5 Заявления и гарантии других участников

    Без оговорок.

    9.7 Отказ от гарантий

    Сертификаты и услуги ISRG предоставляются «как есть». ISRG отказывается от каких-либо гарантий любого типа, явных или подразумеваемых, включая и без ограничения любые подразумеваемые гарантии права собственности, ненарушения прав, товарной пригодности или пригодности для конкретной цели в связи с любыми услугами ISRG или сертификатами ISRG.

    9.8 Ограничение ответственности

    ISRG не несет никакой ответственности за любые убытки, ущерб, претензии или гонорары адвокату в связи с любыми сертификатами. ISRG не несет ответственности за какие-либо убытки, гонорары адвокатам или возмещение, независимо от того, являются ли такие убытки прямыми, косвенными, косвенными, случайными, особыми, примерными, штрафными или компенсационными, даже если ISRG была уведомлена о возможности таких убытков. . Это ограничение ответственности применяется независимо от теории ответственности, т. Е. От того, основана ли теория ответственности на контракте, гарантии, компенсации, вкладе, деликте, справедливости, статуте или постановлении, общем праве или любом другом источнике права, стандарте забота, категория претензии, понятие вины или ответственности или теория восстановления. Настоящий отказ от ответственности следует толковать в максимальной степени, допускаемой действующим законодательством.

    Не отказываясь и не ограничивая вышесказанное каким-либо образом, ISRG не дает, и ISRG прямо отказывается от каких-либо гарантий в отношении своего права на использование любых технологий, изобретений, технических решений, процессов или бизнес-методов, используемых при выдаче сертификатов или предоставлении любых из ISRG Сервисы. Каждый подписчик прямо и утвердительно отказывается от права возлагать на ISRG какую-либо ответственность или требовать компенсации от ISRG за любое нарушение прав интеллектуальной собственности, включая патент, товарный знак, коммерческую тайну или авторское право.

    9.9 Возмещения

    9.9.1 Компенсация ISRG

    ЦС не предоставляет никаких компенсаций, кроме случаев, описанных в разделе 9.9.1 Политики сертификации.

    9.9.2 Компенсация подписчиками

    Каждый Подписчик будет возмещать и оградить ISRG и ее директоров, должностных лиц, сотрудников, агентов и аффилированных лиц от любых обязательств, претензий, требований, убытков, убытков, издержек и расходов, включая гонорары адвокатам, возникающие из или связанные с : (i) любое искажение или упущение существенных фактов Подписчиком для ISRG, независимо от того, было ли такое искажение или упущение умышленным, (ii) нарушение подписчиком Соглашения с подписчиком, (iii) любое компромиссное или несанкционированное использование сертификата ISRG или соответствующего Закрытый ключ или (iv) неправомерное использование подписчиком сертификата ISRG. Если применимое законодательство запрещает Подписчику предоставлять компенсацию за халатность или действия другой стороны, такое ограничение или любое другое ограничение, требуемое по закону для того, чтобы это положение о компенсации было осуществимо,

    9.9.3 Возмещение убытков полагающимися сторонами

    В той степени, в которой это разрешено законом, каждая Проверяющая сторона должна возместить ISRG, ее партнеров и любые лица с перекрестной подписью, а также их соответствующих директоров, должностных лиц, сотрудников, агентов и подрядчиков от любых убытков, ущерба или расходов, включая разумные гонорары адвокатов. , связанных с (i) нарушением Проверяющей стороной каких-либо условий обслуживания, применимых к услугам, предоставляемым ISRG или ее аффилированными лицами и используемым Проверяющей стороной, настоящим CPS или применимым законодательством; (ii) необоснованное использование сертификата; или (iii) невозможность проверить статус сертификата перед использованием.

    9.10 Срок действия и прекращение действия

    9.10.1 Срок

    Настоящая CPS и любые поправки к ней вступают в силу после публикации в онлайн-репозитории ISRG и остаются в силе до тех пор, пока не будут заменены более новой версией.

    9.10.2 Прекращение действия

    Настоящая CPS и любые поправки остаются в силе до тех пор, пока не будут заменены новой версией.

    9.10.3 Эффект прерывания и выживания

    ISRG сообщит об условиях и последствиях прекращения действия данного CPS через репозиторий ISRG. В сообщении будет указано, какие положения остаются в силе после расторжения. Как минимум, все обязанности, связанные с защитой конфиденциальной информации, останутся в силе после прекращения действия. Все соглашения с подписчиками остаются в силе до тех пор, пока сертификат не будет отозван или срок его действия не истечет, даже если действие этого CPS прекращается.

    9.11 Индивидуальные уведомления и общение с участниками

    ISRG принимает уведомления, относящиеся к данной CPS, в местах, указанных в Разделе 1.5.2 данной CPS. Уведомления считаются действующими после того, как отправитель получит действительное подтверждение получения с цифровой подписью от ISRG. Если подтверждение о получении не получено в течение пяти дней, отправитель должен повторно отправить уведомление в бумажной форме на почтовый адрес, указанный в Разделе 1.5.2 настоящего CPS, используя либо курьерскую службу, которая подтверждает доставку, либо заказным или заказным письмом с почтовыми расходами. требуется предоплата и квитанция о вручении. ISRG может разрешить другие формы уведомления в своих Соглашениях с подписчиками.

    9.12 Поправки

    9.12.1 Порядок внесения поправок

    Эта CPS пересматривается не реже одного раза в год и может пересматриваться чаще. Поправки вносятся путем размещения обновленной версии CPS в онлайн-репозитории. Имеются средства контроля, которые предназначены для разумной гарантии того, что этот CPS не будет изменен и опубликован без предварительного разрешения ISRG PMA.

    9.12.2 Механизм и период уведомления

    ISRG размещает версии CPS в своем репозитории. ISRG не гарантирует и не устанавливает период для уведомления и комментариев и может вносить изменения в этот CPS без предварительного уведомления.

    9.12.3 Обстоятельства, при которых необходимо изменить OID

    ISRG PMA несет полную ответственность за определение того, требует ли изменение CPS изменения OID.

    9.13 Положения о разрешении споров

    Любые претензии, иски или судебные разбирательства, вытекающие из настоящего CPS или любого продукта или услуги ISRG, должны быть поданы в суд штата или федеральный суд, расположенный в Сан-Хосе, Калифорния. ISRG может добиваться судебного запрета или иной защиты в любом государственном, федеральном или национальном суде компетентной юрисдикции в случае любого фактического или предполагаемого нарушения своей интеллектуальной собственности, ее аффилированных лиц или любой третьей стороны интеллектуальной собственности или других прав собственности.

    9.14 Применимое право

    Законы штата Калифорния, Соединенные Штаты Америки, регулируют толкование, составление и исполнение настоящего CPS, а также все судебные разбирательства, связанные с продуктами и услугами ISRG, включая иски о правонарушении, без учета каких-либо принципов коллизионного права. Конвенция Организации Объединенных Наций о международной купле-продаже товаров не применяется к данной CPS.

    9.15 Соблюдение действующего законодательства

    Настоящая CPS регулируется всеми применимыми законами и постановлениями, включая ограничения США на экспорт программного обеспечения и криптографических продуктов.

    9.16 Прочие положения

    9.16.1 Полнота соглашения

    ISRG по контракту обязывает каждого RA соблюдать этот CPS и применимые отраслевые правила. ISRG также требует, чтобы каждая сторона, использующая ее продукты и услуги, заключила соглашение, в котором излагаются условия, связанные с продуктом или услугой. Если в соглашении есть положения, отличные от данного CPS, то соглашение с этой стороной имеет преимущественную силу, но только в отношении этой стороны. Третьи стороны не могут полагаться на такое соглашение или предпринимать какие-либо действия для обеспечения его соблюдения.

    9.16.2 Назначение

    Любые организации, действующие в соответствии с данной CPS, не могут передавать свои права или обязанности без предварительного письменного согласия ISRG. Если иное не указано в договоре со стороной, ISRG не предоставляет уведомление о переуступке.

    9.16.3 Делимость

    Если какое-либо положение настоящего CPS будет признано недействительным или не имеющим исковой силы компетентным судом или трибуналом, остальная часть CPS останется в силе и подлежит исполнению. Каждое положение данной CPS, которое предусматривает ограничение ответственности, отказ от гарантии или исключение убытков, является отделимым и независимым от любых других положений.

    9.16.4 Исполнение (гонорары адвокатам и отказ от прав)

    ISRG может требовать возмещения убытков и гонораров адвокатов от стороны за убытки, убытки и расходы, связанные с поведением этой стороны. Неспособность ISRG обеспечить выполнение какого-либо положения данного CPS не лишает ISRG права применить то же положение позже или права применять любое другое положение настоящего CPS. Чтобы отказы были эффективными, они должны быть оформлены в письменной форме и подписаны ISRG.

    9.16.5 Форс-мажор

    ISRG не несет ответственности за любую задержку или невыполнение обязательства по настоящему CPS в той степени, в которой задержка или сбой вызваны происшествием, находящимся вне разумного контроля ISRG. ISRG не может контролировать работу Интернета.

    9.17 Прочие положения

    Без оговорок.

г. Москва, ул. Проспект Мира д. 40, 6 этаж
Связаться с нами

Ваша корзина пуста

Войти в личный кабинет
Регистрация в личном кабинете
Забыли пароль?

Введите адрес электронной почты, на которую зарегистрирован аккаунт и мы вышлем вам новый пароль

Проверьте свою почту

Мы отправили вам e-mail с новым паролем. Пожалуйста, проверьте папку “спам”, если ничего не придет в близжайшее время.

Спасибо за регистрацию

Мы выслали на вашу электронную почту данные для входа в личный кабинет. Желаем приятных покупок