EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32013D0662

2013/662/EU: Kommissionens genomförandebeslut av den 14 oktober 2013 om ändring av beslut 2009/767/EG gällande inrättande, underhåll och offentliggörande av tillförlitliga förteckningar över tillhandahållare av certifikattjänster som medlemsstaterna övervakar/ackrediterar [delgivet med nr C(2013) 6543] Text av betydelse för EES

OJ L 306, 16.11.2013, p. 21–39 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

In force

ELI: http://data.europa.eu/eli/dec_impl/2013/662/oj

16.11.2013   

SV

Europeiska unionens officiella tidning

L 306/21


KOMMISSIONENS GENOMFÖRANDEBESLUT

av den 14 oktober 2013

om ändring av beslut 2009/767/EG gällande inrättande, underhåll och offentliggörande av tillförlitliga förteckningar över tillhandahållare av certifikattjänster som medlemsstaterna övervakar/ackrediterar

[delgivet med nr C(2013) 6543]

(Text av betydelse för EES)

(2013/662/EU)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (1), särskilt artikel 8.3, och

av följande skäl:

(1)

Medlemsstater ska göra den information tillgänglig som behövs för att validera avancerade elektroniska signaturer som baseras på ett kvalificerat certifikat, enligt kommissionens beslut 2009/767/EG av den 16 oktober 2009 om åtgärder som underlättar användningen av förfaranden på elektronisk väg genom gemensamma kontaktpunkter i enlighet med Europaparlamentets och rådets direktiv 2006/123/EG om tjänster på den inre marknaden (2). Informationen ska anges enhetligt i så kallade ”tillförlitliga förteckningar” som innehåller uppgifter om de tillhandahållare av certifikattjänster som utfärdar kvalificerade certifikat till allmänheten enligt Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer (3) och som medlemsstaterna övervakar/ackrediterar.

(2)

Praktiska erfarenheter av medlemsstaternas genomförande av beslut 2009/767/EG har visat att vissa förbättringar krävs för att optimera fördelarna med tillförlitliga förteckningar. Europeiska institutet för telekommunikationsstandarder (Etsi) har dessutom offentliggjort nya tekniska specifikationer för tillförlitliga förteckningar (TS 119 612) som baseras på de specifikationer som för närvarande anges i bilagan till beslutet. Samtidigt innehåller de emellertid ett antal förbättringar av de befintliga specifikationerna.

(3)

Beslut 2009/767/EG bör därför ändras, så att det hänvisar till Etsis tekniska specifikationer 119 612 och så att de ändringar införlivas i beslutet som anses nödvändiga för att förbättra och förenkla tillförlitliga förteckningars genomförande och användning.

(4)

För att medlemsstaterna ska kunna göra de nödvändiga tekniska förändringarna av de nuvarande tillförlitliga förteckningarna, bör detta beslut träda i kraft den 1 februari 2014.

(5)

De åtgärder som föreskrivs i detta beslut är förenliga med tjänstedirektivkommitténs yttrande.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Ändringar i beslut 2009/767/EG

Beslut 2009/767/EG ändras på följande sätt:

1.

Artikel 2 ska ändras på följande sätt:

a)

Punkterna 1, 2 och 2a ska ersättas med följande:

”1.   Varje medlemsstat ska i enlighet med de tekniska specifikationerna i bilagan inrätta, underhålla och offentliggöra en ”tillförlitlig förteckning” med åtminstone uppgifter om de tillhandahållare av certifikattjänster som utfärdar kvalificerade certifikat till allmänheten och som medlemsstaten övervakar/ackrediterat.”

”2.   Medlemsstaterna ska inrätta och offentliggöra den tillförlitliga förteckningen i maskinläsbart format i enlighet med specifikationerna i bilagan. Om en medlemsstat väljer att offentliggöra den tillförlitliga förteckningen i människoläsbart format, ska den versionen följa specifikationerna i bilagan.”

”2a.   Medlemsstaterna ska elektroniskt signera den tillförlitliga förteckningen i maskinläsbart format för att säkerställa dess autenticitet och integritet. Om en medlemsstat offentliggör den tillförlitliga förteckningen i människoläsbart format, ska den se till att den versionen innehåller samma uppgifter som den maskinläsbara versionen, och ska signera den elektroniskt med samma certifikat som användes för den maskinläsbara versionen.”

b)

Följande punkt 2b införs:

”2b.   Medlemsstaterna ska se till att den maskinbearbetningsbara versionen av deras tillförlitliga förteckningar är åtkomlig på dess publiceringsplats hela tiden utan avbrott, förutom i underhållssyfte.”

c)

Punkt 3 ska ersättas med följande:

”3.   Medlemsstaterna ska lämna följande uppgifter till kommissionen:

a)

Vilket eller vilka organ som ansvarar för att inrätta, underhålla och offentliggöra den tillfölitliga förteckningen i maskinläsbart format.

b)

Var den tillförlitliga förteckningen i maskinläsbart format offentliggörs.

c)

Två eller fler offentliga certifieringsnycklar från systemoperatören, med förskjutna giltighetsperioder på minst tre månader, som motsvarar den privata nyckel som kan användas för att elektroniskt signera den tillförlitliga förteckningen i maskinläsbart format.

d)

Eventuella ändringar av uppgifterna i punkterna a, b och c.”

d)

Följande punkt 3a införs:

”3a.   Om medlemsstaten offentliggör den tillförlitliga förteckningen i människoläsbart format ska de uppgifter som avses i punkt 3 lämnas även för den människoläsbara versionen.”

2.

Bilagan ersätts med bilagan till detta beslut.

Artikel 2

Tillämpning

Detta beslut ska tillämpas från och med den 1 februari 2014.

Artikel 3

Adressater

Detta beslut riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 14 oktober 2013.

På kommissionens vägnar

Michel BARNIER

Ledamot av kommissionen


(1)  EUT L 376, 27.12.2006, s. 36.

(2)  EUT L 274, 20.10.2009, s. 36.

(3)  EGT L 13, 19.1.2000, s. 12.


BILAGA

TEKNISKA SPECIFIKATIONER FÖR EN GEMENSAM MALL FÖR DEN TILLFÖRLITLIGA FÖRTECKNINGEN ÖVER ÖVERVAKADE/ACKREDITERADE TILLHANDAHÅLLARE AV CERTIFIKATTJÄNSTER

ALLMÄNNA KRAV

1.   Inledning

Syftet med den gemensamma mallen för medlemsstaternas tillförlitliga förteckningar över övervakade/ackrediterade tillhandahållare av certifikattjänster är att införa en gemensam metod. I enlighet med denna ska varje medlemsstat lämna information om övervaknings-/ackrediteringsstatus för certifikattjänster från tillhandahållare av certifikattjänster (1) (nedan kallade CSP) som den övervakar/ackrediterar för iakttagande av direktiv 1999/93/EG. Detta omfattar även tillhandahållande av historisk information om de övervakade/ackrediterade certifikattjänsternas övervaknings-/ackrediteringsstatus.

Syftet med denna information är främst att underlätta valideringen av kvalificerade elektroniska signaturer (nedan kallade QES) och avancerade elektroniska signaturer (nedan kallade AdES) (2) som baseras på ett kvalificerat certifikat (3), (4).

De obligatoriska uppgifterna i den tillförlitliga förteckningen ska åtminstone omfatta övervakade/ackrediterade CSP som utfärdar kvalificerade certifikat (nedan kallade QC) (5) i enlighet med direktiv 1999/93/EG (artiklarna 3.2, 3.3 och 7.1 a), inklusive, om dessa inte ingår i QC, uppgifter om de QC som stöder en elektronisk signatur och om signaturen har skapats med en säker anordning för skapande av signaturer (nedan kallad SSCD) (6).

Den tillförlitliga nationella förteckningen får på frivillig basis innehålla ytterligare information om andra CSP som inte utfärdar QC utan tillhandahåller tjänster knutna till elektroniska signaturer (exempelvis CSP som erbjuder tidsmärkningstjänster och som utfärdar igenkänningstecken för tidsmärkning, CSP som utfärdar icke-kvalificerade certifikat osv.), på villkor att de ackrediterats/övervakas på ett liknande sätt som de CSP som utfärdar QC eller har godkänts enligt ett annat nationellt godkännandesystem. Nationella godkännandesystem kan i vissa medlemsstater skilja sig från de system för övervakning eller frivillig ackreditering som är tillämpliga på CSP som utfärdar QC vad avser gällande krav och/eller ansvarig organisation. Termerna ”ackrediteras” och/eller ”övervakas” i de föreliggande specifikationerna omfattar även nationella godkännandesystem. Ytterligare information om nationella system lämnas av medlemsstaterna i deras tillförlitliga förteckningar, inklusive klargörande av eventuella skillnader jämfört med system för ackreditering/övervakning som tillämpas på CSP som utfärdar QC.

Den gemensamma mallen utgår från Etsi TS 119 612 v1.1.1 (7) (nedan kallat Etsi TS 119 612), som tar upp för sådana förteckningars inrättande, offentliggörande, lokalisering, åtkomst, autentisering och integritet.

2.   Struktur i den gemensamma mallen för den tillförlitliga förteckningen

Den gemensamma mallen för medlemsstaternas tillförlitliga förteckningar ska struktureras enligt Etsi TS 119 612 i följande informationskategorier:

1.

En tillförlitlig förteckningstagg som gör det lättare att hitta den tillförlitliga förteckningen vid elektroniska sökningar.

2.

Uppgifter om den tillförlitliga förteckningen och dess utfärdandesystem.

3.

En fältsekvens med unika identifieringsuppgifter om varje CSP som övervakas/ackrediteras i enlighet med systemet (denna sekvens är valfri – om den inte används kommer förteckningen att betraktas som tom vilket innebär att det inte finns någon CSP som den aktuella medlemsstaten övervakar/ackrediterar med avseende på den tillförlitliga förteckningen).

4.

Detaljerade uppgifter per CSP i förteckningen vilka avser dess specifika tillförlitliga tjänster, vars aktuella status registreras i den tillförlitliga förteckningen, där uppgifterna lämnas som en sekvens av fält som unikt identifierar de övervakade/ackrediterade certifikattjänster som CSP tillhandahåller och dessas aktuella status (denna sekvens ska innehålla minst en post).

5.

I förekommande fall information om statushistorik per övervakad/ackrediterad certifikattjänst i förteckningen,.

6.

Den signatur som tillämpas på den tillförlitliga förteckningen.

När det gäller en CSP som utfärdar QC medger den tillförlitliga förteckningens struktur – i synnerhet delen med tjänsteinformation (enligt punkt 4 ovan) – att ytterligare information kan lämnas i tjänstens informationstillägg för att kompensera för situationer med otillräcklig (maskinläsbar) information i QC om dess status som ”kvalificerat”, dess eventuella SSCD-stöd och särskilt för att hantera det ytterligare faktum att de flesta (kommersiella) CSP använder en enda certifikatutfärdare (nedan kallad CA) för att utfärda flera typer av slutanvändarcertifikat, såväl kvalificerade som icke-kvalificerade.

Vad gäller certifikatutfärdartjänster (CA) kan antalet tjänsteposter i förteckningen per CSP minskas, om det finns en eller flera överordnade CA-tjänster inom en CSP:s PKI (exempelvis en CA-hierarki från en rot-CA ned till flera utfärdande CA) genom att förteckna sådana överordnade CA-tjänster och inte de CA-tjänster som utfärdar slutanvändarcertifikat (exempelvis enbart rot-CA för en CSP tas med i förteckningen). I dessa fall avser emellertid statusinformationen hela hierarkin av CA-tjänster under den förtecknade tjänsten, och principen ska upprätthållas och garanteras om att säkerställa en unik koppling mellan en CSPQC-certifikattjänst och uppsättningen av certifikat som är avsedda att identifieras som QC.

2.1   Beskrivning av information i varje kategori

1.   Tillförlitlig förteckningstagg

2.   Information om den tillförlitliga förteckningen och dess utfärdandesystem

Följande uppgifter ska ingå i denna kategori:

En identifiering av den tillförlitliga förteckningens formatversion.

Ett sekvensnummer (eller utgivningsnummer) för den tillförlitliga förteckningen.

Typinformation om den tillförlitliga förteckningen (exempelvis för att det ska framgå att denna tillförlitliga förteckning innehåller information om övervaknings-/ackrediteringsstatus för certifikattjänster från CSP som den aktuella medlemsstaten övervakar/ackrediterar för iakttagande av direktiv 1999/93/EG).

Information om den tillförlitliga förteckningens systemoperatör (ägare) (exempelvis namn, adress, kontaktuppgifter osv. för det organ i medlemsstaten som ansvarar för att inrätta, på säkert sätt offentliggöra samt underhålla den tillförlitliga förteckningen).

Information om de underliggande övervaknings-/ackrediteringssystem som den tillförlitliga förteckningen är knuten till, vilket omfattar men inte begränsas till

det land som det är tillämpligt i,

information om eller hänvisning till var man kan hitta uppgifter om systemet/systemen (systemmodell, bestämmelser, kriterier, gällande gemenskap, typ, m.m.),

information om hur länge (historisk) information sparas.

Den tillförlitliga förteckningens policy och/eller rättsakt, förpliktelser och ansvarsområden.

Dag samt tidpunkt för den tillförlitliga förteckningens utfärdande.

Den tillförlitliga förteckningens nästa planerade uppdatering.

3.   Unik identifieringsinformation om varje CSP som övervakas/ackrediteras genom systemet

Här ska minst följande uppgifter ingå:

Det organisationsnamn för CSP som använts i formella juridiska registreringar (detta kan omfatta CSP-organisationens användar-ID, i enlighet med medlemsstatens praxis).

Adress- och kontaktuppgifter för CSP.

Ytterligare information om CSP, antingen direkt eller i form av en hänvisning till en plats där denna information kan laddas ned.

4.   För varje CSP som är upptagen i förteckningen, en fältsekvens som unikt identifierar en certifikattjänst som CSP tillhandahåller och som övervakas/ackrediteras inom ramen för direktiv 1999/93/EG

Dessa uppgifter ska minst omfatta följande per certifikattjänst från en CSP som är upptagen i förteckningen:

Service type identifier: En identifikationskod för typen av certifikattjänst (som exempelvis anger att CSP:s övervakade/ackrediterade certifikattjänst är en certifikatutfärdare som utfärdar QC).

Service (trade) name: Certifikattjänstens (handels-)namn.

Service digital identity: En unik identifikationskod för certifikattjänsten.

Service current status: En identifikationskod för tjänstens aktuella status.

Startdag och starttid för aktuell status.

Service information extension (i förekommande fall): Ytterligare information om tjänsten (kan exempelvis ges direkt eller med en hänvisning till en plats som informationen kan laddas ned från): tjänsteinformation som systemoperatören lämnat, åtkomstinformation om tjänsten, tjänsteinformation som CSP lämnat och informationstillägg om tjänsten. Exempelvis för CA-/QC-tjänster en valfri sekvens av tupler där varje tupel ger information om

kriterier som ska användas för att inom den identifierade tillförlitliga tjänsten ytterligare identifiera (filtrera) tjänstens exakta resultat (exempelvis (kvalificerade) certifikat) för vilka ytterligare uppgifter krävs/tillhandahålls med avseende på dess status, uppgifter om SSCD-stöd och/eller utfärdande till en juridisk person, och

de tillhörande kvalificerarna som ger information om huruvida tjänsten som resultat identifierar certifikat som ska betraktas som kvalificerade och/eller huruvida denna tjänsts QC stöds av en SSCD eller ej, och/eller uppgifter om huruvida dessa QC utfärdas till juridiska personer (som standard ska anses vara utfärdade till fysiska personer).

5.   Information om statushistoriken för varje certifikattjänst i förteckningen

6.   En signatur i autentiseringssyfte för alla fält i den tillförlitliga förteckningen utom själva signaturvärdet

3.   Riktlinjer för redigering av uppgifter i den tillförlitliga förteckningen

3.1   Statusinformation om övervakade/ackrediterade certifikattjänster och deras tillhandahållare i en enda förteckning

Med en medlemsstats tillförlitliga förteckning ska avses förteckningen över övervaknings-/ackrediteringsstatus för certifikattjänster från tillhandahållare av certifikattjänster som den angivna medlemsstaten övervakar/ackrediterar iakttagande av direktiv 1999/93/EG.

En sådan tillförlitlig förteckning är det enda instrumentet som den berörda medlemsstaten ska använda för att lämna information om övervaknings-/ackrediteringsstatus för certifikattjänster och tillhandahållare av sådana:

Samtliga tillhandahållare av certifikattjänster i enlighet med definitionen i artikel 2.11 i direktiv 1999/93/EG, dvs. ”ett organ eller en fysisk eller juridisk person som utfärdar certifikat eller tillhandahåller andra tjänster knutna till elektroniska signaturer”,

som övervakas/ackrediteras för iakttagande av direktiv 1999/93/EG.

När det gäller definitionerna och bestämmelserna i direktiv 1999/93/EG, särskilt med avseende på aktuella CSP och deras system för övervakning/frivillig ackreditering, går det att urskilja två grupper av CSP, nämligen sådana som utfärdar QC till allmänheten (CSPQC) och sådana som inte utfärdar QC till allmänheten utan tillhandahåller ”andra tjänster knutna till elektroniska signaturer”:

CSP som utfärdar QC:

Dessa ska övervakas av den medlemsstat som de är etablerade i (om de är etablerade i en medlemsstat) och de får också ackrediteras för iakttagande av direktiv 1999/93/EG, inklusive kraven i bilaga I (krav på kvalificerade certifikat) och i bilaga II (krav på tillhandahållare av certifikattjänster vilka utfärdar kvalificerade certifikat). CSP som utfärdar QC och som är ackrediterade i en medlemsstat ska ändå omfattas av det tillämpliga övervakningssystemet i den medlemsstaten, utom då de inte är etablerade i den medlemsstaten.

Det tillämpliga övervakningssystemet (respektive frivilliga ackrediteringssystemet) definieras i och ska uppfylla de tillämpliga kraven i direktiv 1999/93/EG, särskilt i artiklarna 3.3, 8.1 och 11 samt skäl 13 (artiklarna 2.13, 3.2, 7.1 a, 8.1 och 11 respektive skälen 4, 11, 12 och 13).

CSP som inte utfärdar QC:

Dessa kan omfattas av ett frivilligt ackrediteringssystem (enligt definitionen i och i enlighet med direktiv 1999/93/EG) och/eller ett nationellt godkännandesystem som tillämpas nationellt för iakttagande av direktivet och eventuella nationella bestämmelser om tillhandahållande av certifikattjänster (i den mening som avses i artikel 2.11 i direktiv 1999/93/EG).

Vissa av de fysiska eller binära (logiska) objekt som genereras eller utfärdas till följd av tillhandahållandet av en certifikattjänst kan berättiga till särskild kvalificering för att de uppfyller nationella bestämmelser och krav, men betydelsen av sådan kvalificering är sannolikt begränsad till den nationella nivån.

En enda tillförlitlig förteckning ska inrättas och underhållas per medlemsstat för att ange övervaknings- och/eller ackrediteringsstatus för certifikattjänster från CSP som medlemsstaten övervakar/ackrediterar. I den tillförlitliga förteckningen ska åtminstone de CSP ingå som utfärdar QC. Den tillförlitliga förteckningen kan också ange status för andra certifikattjänster som övervakas eller ackrediteras i enlighet med nationellt definierade godkännandesystem.

3.2   En enda uppsättning statusvärden för övervakning/ackreditering

I den tillförlitliga förteckningen ska det av tjänstens aktuella status framgå att den för närvarande övervakas och/eller är ackrediterad. Dessutom kan en övervaknings- eller ackrediteringsstatus anges som positiv (under övervakning, ackrediterad, övervakningen har avbrutits), upphörd (övervakningen har upphört, ackrediteringen har upphört) eller t.o.m. återkallad (övervakningen har återkallats, ackrediteringen har återkallats) och anges med motsvarande värde. Samma certifikattjänst kan med tiden övergå från en övervakningsstatus till en ackrediteringsstatus och vice versa (8).

I figur 1 nedan beskrivs en certifikattjänsts förväntade gång mellan möjliga övervaknings-/ackrediteringsstatusar:

Figur 1

Förväntat övervaknings-/ackrediteringsflöde för en enda CSP-tjänst

Image

När den är etablerad i en medlemsstat ska en tillhandahållare av certifikattjänster som utfärdar QC övervakas (av medlemsstaten där den är etablerad) och kan frivilligt ackrediteras. Statusvärdet för en sådan tjänst ska, när den är upptagen i en tillförlitlig förteckning, ha ett av de ovanstående angivna statusvärdena som aktuellt statusvärde beroende på dess aktuella status. Det ska i förekommande fall förändras enligt statusgången som visas ovan. ”Ackrediteringen har upphört” och ”ackrediteringen har återkallats” ska båda vara övergångsvärden, när den motsvarande CSPQC-tjänsten återfinns i den tillförlitliga förteckningen i medlemsstaten där den är etablerad. I så fall ska tjänsten övervakas automatiskt (även om den inte är eller inte längre är ackrediterad). När motsvarande tjänst återfinns i den tillförlitliga förteckningen (är ackrediterad) i en annan medlemsstat än den är etablerad i, kan dessa värden vara slutliga värden.

Medlemsstater ska enligt följande två kategorier klassificera nationellt erkända godkännandesystem som de inrättar eller har inrättat för att nationellt övervaka att CSP-tjänster som inte utfärdar QC iakttar direktiv 1999/93/EG och eventuella nationella bestämmelser om tillhandahållande av certifikattjänster (i den mening som avses i artikel 2.11 i direktivet):

”Frivillig ackreditering” i enlighet med definitionen och bestämmelserna i direktiv 1999/93/EG (artiklarna 2.13, 3.2, 7.1 a, 8.1 och 11 samt skälen 4, 11, 12 och 13).

”Övervakning” enligt direktiv 1999/93/EG som genomförs genom nationella bestämmelser och krav i nationell lagstiftning.

En tillhandahållare av certifikattjänster som inte utfärdar QC kan alltså övervakas/ackrediteras frivilligt. Statusvärdet för en sådan tjänst ska, när den är upptagen i en tillförlitlig förteckning, ha ett av de ovanstående statusvärdena som aktuellt statusvärde (figur 1) i enlighet med sin aktuella status. Det ska i förekommande fall förändras enligt statusgången ovan.

Den tillförlitliga förteckningen ska innehålla uppgifter om underliggande övervaknings-/ackrediteringssystem, särskilt uppgifter om följande:

Det övervakningssystem som omfattar alla CSPQC.

I förekommande fall det nationella frivilliga ackrediteringssystem som omfattar alla CSPQC.

I förekommande fall det övervakningssystem som omfattar alla CSP som inte utfärdar QC.

I förekommande fall det nationella frivilliga ackrediteringssystem som är omfattar alla CSP som inte utfärdar QC.

De sista två punkterna är av kritisk betydelse för att beroende parter ska kunna bedöma kvaliteten och säkerhetsnivån på övervaknings-/ackrediteringssystem som nationellt omfattar CSP som inte utfärdar QC. När uppgifter om övervaknings-/ackrediteringsstatus tillhandahålls i den tillförlitliga förteckningen med avseende på tjänster från CSP som inte utfärdar QC, ska de ovannämnda uppsättningarna av uppgifter tillhandahållas på tillförlitlig förteckningsnivå genom användning av en URI för systeminformation (”Scheme information URI”, klausul 5.3.7 – information som tillhandahålls av medlemsstaterna), information om typ/gemenskap/bestämmelser för systemet (”Scheme type/community/rules”, klausul 5.3.9 – med en för alla medlemsstater gemensam text och valfri specifik information som medlemsstater tillhandahåller) samt policy/rättsligt meddelande om förteckningen över tillförlitliga tjänster (”TSL policy/legal notice”, klausul 5.3.11 – en text som är gemensam för alla medlemsstater med hänvisning till direktiv 1999/93/EG, tillsammans med en möjlighet för varje medlemsstat att lägga till landsspecifika texter/hänvisningar).

Ytterligare kvalificeringsuppgifter som definieras i de nationella övervaknings-/ackrediteringssystemen för CSP som inte utfärdar QC får i förekommande fall och om så krävs lämnas på tjänstenivå (exempelvis för att skilja mellan flera kvalitets- och säkerhetsnivåer), genom användning av tillägget ”additionalServiceInformation” (klausul 5.5.9.4) som en del av tjänstens informationstillägg (klausul 5.5.9). Ytterligare information om motsvarande tekniska specifikationer finns i de detaljerade specifikationerna i kapitel I.

Trots att olika organ i en medlemsstat kan ansvara för övervakning och ackreditering av certifikattjänster i den medlemsstaten, förväntas endast en registerpost användas per certifikattjänst, och att dess övervaknings-/ackrediteringsstatus uppdateras i enlighet med detta.

3.3   Registerposter i den tillförlitliga förteckningen för att underlätta validering av QES och AdESQC

Den mest kritiska delen vid inrättandet av den tillförlitliga förteckningen är dennas obligatoriska del, dvs. ”förteckningen över tjänster” per CSP som utfärdar QC för att korrekt avspegla den exakta situationen för varje sådan QC-utfärdande tjänst och säkeställa att den information som tillhandahålls i varje registerpost är tillräcklig för valideringen av QES och AdESQC (i kombination med innehållet i det slutliga QC som CSP utfärdar inom ramen för den certifikattjänst som finns upptagen i denna registerpost).

Den obligatoriska informationen kan omfatta annan information än tjänstens digitala identitet (”Service digital identity”) för en enda (rot-)certifikatutfärdare, särskilt information som identifierar QC-statusen för certifikat som utfärdas av en sådan CA-tjänst, samt information om huruvida signaturerna som stöds har skapats av en SSCD. Det organ i en medlemsstat som har utsetts att inrätta, redigera och underhålla den tillförlitliga förteckningen ska därför ta hänsyn till den aktuella profilen och certifikatsinnehållet i varje utfärdat QC per CSPQC-tjänst som ingår i den tillförlitliga förteckningen.

Helst bör Etsis QcCompliance-deklaration (9) finnas i varje utfärdat QC som hävdas vara ett QC, och de bör innehålla Etsis QcSSCD-deklaration när det hävdas att certifikatet stöds av en SSCD för att generera elektroniska signaturer. Alternativt bör varje utfärdat QC innehålla en av de objektidentifierare (nedan kallat OID) för certifikatspolicyer, QCP/QCP+, som fastställs i Etsi EN 319 411–2 (10). CSP som utfärdar QC använder olika standarder som referenser, dessa standarder tolkas på många olika sätt och det saknas medvetenhet om att vissa normativa tekniska specifikationer eller standarder existerar och har företräde, vilket har lett till skillnader i det faktiska innehållet i aktuella utfärdade QC (exempelvis vid användning av Etsi-definierade ”QcStatements”) som gör att de mottagande parterna inte kan lita på undertecknarens certifikat (och tillhörande kedja/sökväg) för att åtminstone i maskinläsbar form kunna bedöma om det certifikat som stöder en elektronisk signatur påstås vara ett QC och om det är knutet till en SSCD som genererat den elektroniska signaturen.

Genom att fälten ”Service type identifier” (identifiering av tjänstetyp, nedan kallat Sti), ”Service name” (tjänstens namn, nedan kallat Sn) och ”Service digital identity” (tjänstens digitala identitet, nedan kallat Sdi) i den tillförlitliga förteckningen fylls i med uppgifter i fältet ”Service information extensions” (informationstillägg för tjänsten, nedan kallat Sie), kan en specifik QC-typ fullständigt identifieras som utfärdas av en förtecknad certifikattjänst från en CSP som utfärdar QC; det framgår också om detta QC stöds av en SSCD eller ej (om denna information saknas i det utfärdade QC). En särskild uppgift, ”Service current status” (tjänstens nuvarande status, nedan kallad Scs), är knuten till denna registerpost. Detta framgår av figur 2 nedan.

Att registrera en tjänst i förteckningen genom att endast ange Sdi för en rot-CA skulle innebära att det garanteras (av den CSP som utfärdar QC, men även av det övervaknings-/ackrediteringsorgan som ansvarar för övervakningen/ackrediteringen av denna CSP) att eventuella slutanvändarcertifikat som utfärdas inom ramen för denna rot-CA (hierarki) innehåller tillräckligt mycket Etsi-definierad och maskinläsbar information för att det ska vara möjligt att avgöra om detta är ett QC eller ej och om det stöds av en SSCD. Om det senare påståendet inte är sant (exempelvis saknas Etsi-standardiserad maskinläsbar uppgift i QC om huruvida det stöds av en SSCD), ska det förutsättas att enbart förtecknandet av Sdi för denna rot-CA innebär att QC som utfärdas inom ramen för denna (rot-)CA-hierarki inte stöds av någon SSCD. För att dessa QC ska betraktas som stödda av en SSCD ska fältet Sie användas (även detta innebär att informationen garanteras av den CSP som utfärdar QC och övervakas/ackrediteras av övervaknings- eller ackrediteringsorganet).

Figur 2

I den tillförlitliga förteckningen redovisad tjänsteregistrering för en förtecknad CSP-tjänst som utfärdar QC

Allmänna principer – Redigeringsregler – CSPQC -poster (förtecknade tjänster)

Image

Enligt föreliggande tekniska specifikationer för den tillförlitliga förteckningens gemensamma mall går det att använda en kombination av fem huvudregisterposter för tjänster:

Sti – exempelvis en certifikatutfärdare som utfärdar QC (nedan kallad CA/QC).

Sn.

Sdi, som identifierar en förtecknad tjänst, exempelvis (åtminstone) den öppna nyckeln för en CA som utfärdar QC.

För CA/QC-tjänster valfritt Sie, som medger att ett antal tjänsterelaterade uppgifter om återkallandestatus för certifikat som har gått ut, ytterligare QC-egenskaper, en annan CSP:s övertaganden av en CSP och annan ytterligare tjänsteinformation. Exempelvis återges de ytterligare egenskaperna för QC med en sekvens av en eller flera tupler, där varje tupel anger

kriterier som ska användas för att under den Sdi-identifierade certifikattjänsten ytterligare identifiera (filtrera) exakt vilken uppsättning kvalificerade certifikat där ytterligare uppgifter krävs/tillhandahålls med avseende på kvalificerad-status, SSCD-stöd och/eller utfärdande till en juridisk person, samt

tillhörande information (kvalificerare) om huruvida denna uppsättning av kvalificerade certifikat ska anses kvalificerade, stöds av en SSCD eller om den tillhörande informationen ingår i QC i en standardiserad maskinläsbar form och/eller information om att dessa QC utfärdas till juridiska personer (förinställt värde är fysiska personer).

Information om den registrerade tjänstens aktuella status med uppgifter om

huruvida tjänsten är övervakad/ackrediterad, och

övervakningens/ackrediteringens status.

3.4   Riktlinjer för redigering och användning av tjänsteposter för CSPQC

De allmänna riktlinjerna för redigering är följande:

1.

Det räcker att använda en lämplig Sdi, om det garanteras (av en CSPQC som övervaknings-/ackrediteringsorganet övervakar/ackrediterar) att för varje förtecknad Sdi-tjänst alla QC som stöds av en SSCD verkligen innehåller den Etsi-definierade QcCompliance-deklarationen och verkligen innehåller QcSSCD-deklarationen och/eller QCP + OID. Användningen av Sie-fältet är frivillig och detta fält behöver inte innehålla uppgifter om SSCD-stöd.

2.

Det räcker att använda en lämplig Sdi, om det garanteras (av en CSPQC som övervaknings-/ackrediteringsorganet övervakar/ackrediterar) att för varje förtecknad Sdi-tjänst alla QC som inte stöds av en SSCD verkligen innehåller QcCompliance-deklarationen och/eller QCP OID och inte innehåller QcSSCD-deklarationen eller QCP + OID. Användningen av Sie-fältet är frivillig och detta fält behöver inte innehålla uppgifter om SSCD-stöd (vilket betyder att det inte stöds av en SSCD).

3.

Det räcker sannolikt inte att använda en lämplig Sdi, om det garanteras (av en CSPQC som övervaknings-/ackrediteringsorganet övervakar/ackrediterar) att för varje förtecknad Sdi-tjänst alla QC verkligen innehåller QcCompliance-deklarationen och vissa av dessa QC ska stödjas av en SSCD men inte andra (särskiljs exempelvis genom olika CSP-specifika OID:er för certifikatpolicy eller genom annan CSP-specifik information i QC, direkt eller indirekt, maskinläsbart eller ej), medan certifikat som stöds av en SSCD VARKEN innehåller QcSSCD-deklarationen ELLER Etsi OID QCP(+); Sie-fältet ska då användas för att ge klar information om SSCD-stöd, tillsammans med ett eventuellt informationstillägg för att identifiera de certifikat som omfattas. I så fall ska sannolikt olika uppgiftsvärden om SSCD-stöd registreras för samma Sdi, när Sie-fältet används.

4.

Det räcker inte att använda en lämplig Sdi, om det garanteras (av en CSPQC som övervaknings-/ackrediteringsorganet övervakar/ackrediterar) att för varje förtecknad Sdi-tjänst ingen QC innehåller någon QcCompliance-deklaration, QCP OID, QcSSCD-deklaration eller QCP + OID, men det garanteras att vissa av de slutanvändarcertifikat som utfärdas inom ramen för denna Sdi är avsedda att vara QC och/eller stödjas av SSCD men inte andra (särskiljs exempelvis genom olika CSPQC-specifika OID:er för certifikatpolicy eller genom annan CSPQC-specifik information i QC, direkt eller indirekt, maskinläsbart eller ej); Sie-fältet ska då användas för att inkludera klar kvalificeringsinformation. I så fall ska man sannolikt lägga in olika informationsvärden för SSCD-stöd för samma Sdi, när Sie-fältet används.

Som en allmän standardprincip ska det för en CSP i den tillförlitliga förteckningen finnas en registrerad tjänst per öppen nyckel till en certifikattjänst av CA/QC-typ, dvs. per certifikatutfärdare som (direkt) utfärdar QC. Under vissa exceptionella omständigheter och noga kontrollerade förhållanden får medlemsstatens övervaknings-/ackrediteringsorgan besluta att som Sdi till en registerpost i denna CSP:s tjänsteförteckning använda den offentliga nyckeln till en rot-CA eller överordnad CA inom CSP:ns PKI (exempelvis i en CSP-hierarki av CA från en rot-CA ned till flera utfärdande CA); detta sker i stället för att förteckna alla underordnade utfärdande CA-tjänster (dvs. förteckna en certifikatutfärdare som inte direkt utfärdar slutanvändarcertifikat utan som certifierar en hierarki av CA ned till CA som utfärdar QC för slutanvändare). Medlemsstaterna ska i så fall noggrant överväga konsekvenserna (fördelar och nackdelar) av att använda sådana öppna nycklar till rot-CA eller överordnade CA som Sdi-värde i tjänsteposter i den tillförlitliga förteckningen. När medlemsstaten utnyttjar detta tillåtna undantag från standardprincipen, ska den dessutom tillhandahålla nödvändig dokumentation för att underlätta uppbyggnad av sökvägar och verifiering. Exempel: om det är fråga om en CSPQC som använder en rot-CA under vilken flera CA utfärdar QC och icke-QC vars QC endast innehåller QcCompliance-deklarationen och uppgift saknas om huruvida den stöds av en SSCD, skulle förtecknande av enbart rotcertifikatutfärdar-Sdi, enligt reglerna ovan, innebära att inga QC som utfärdas under denna rot-CA stöds av en SSCD. Om det finns QC som faktiskt stöds av en SSCD men det saknas en maskinläsbar deklaration som indikerar sådant stöd i certifikaten rekommenderas det starkt att QcSSCD-deklarationen används i de QC som utfärdas i framtiden. Under tiden (tills det sista QC som inte innehåller denna information har löpt ut) bör man i den tillförlitliga förteckningen använda sig av Sie-fältet och tillhörande kvalificeringstillägg, exempelvis genom att filtrera information för att identifiera uppsättningar av certifikat med hjälp av specifika CSPQC-definierade OID:er som CSPQC eventuellt använder för att skilja mellan olika typer av QC (där vissa stöds av en SSCD och andra inte) och knyta explicit information om SSCD-stöd till de identifierade (filtrerade) certifikatuppsättningarna genom användning av kvalificerare.

De allmänna riktlinjerna för användning av elektroniska signaturapplikationer, tjänster eller produkter som utgår från en tillförlitlig förteckning i enlighet med föreliggande tekniska specifikationer är följande:

En Sti-post CA/QC (och även en CA/QC-post som kvalificeras ytterligare som en RootCA/QC genom tillägget Sie additionalServiceInformation)

betyder att alla de slutanvändarcertifikat är QC som utfärdas av den Sdi-identifierade CA (liksom inom CA-hierarkin med början i den Sdi-identifierade RootCA), på villkor att detta hävdas i certifikatet med hjälp av lämpliga maskinläsbara QcStatements (dvs. QcCompliance) och/eller Etsi-definierade QCP(+) OID:er (och detta säkerställs av övervaknings-/ackrediteringsorganet, se de allmänna redigeringsriktlinjerna ovan)

Anmärkning: Om det inte finns någon kvalificeringstilläggsinformation för Sie eller om ett slutanvändarcertifikat som hävdas vara ett QC inte identifieras ytterligare genom ett relaterat Sie-kvalificeringstillägg, ska den maskinläsbara informationen i QC övervakas/ackrediteras för att avgöra om den är korrekt. Detta innebär att användningen (eller ej) av lämpliga QcStatements (dvs. QcCompliance, QcSSCD) och/eller Etsi-definierade QCP(+) OID:er garanteras vara förenlig med vad CSPQC påstår.

och OM det finns kvalificeringstilläggsinformation för Sie gäller, som tillägg till ovannämnda tolkningsregel för standardanvändning, att om certifikat som identifieras genom användning av denna kvalificeringstilläggsinformation för Sie bygger på principen med en filtersekvens som ytterligare identifierar en uppsättning certifikat, ska dessa certifikat bedömas med de associerade kvalificerare som ger viss ytterligare information om status som kvalificerad, SSCD-stödet och/eller att certifikatet utfärdats till en juridisk person (exempelvis certifikat som innehåller en specifik OID i tillägget för certifikatpolicy och/eller har ett visst nyckelanvändningsmönster och/eller filtreras genom användning av ett visst värde som ska finnas i ett visst certifikatsfält eller tillägg osv.). Dessa kvalificerare ingår i följande uppsättning kvalificerare som används för att kompensera för bristen på information i QC och för att

statusen som kvalificerad: QCStatement innebär att de identifierade certifikaten är kvalificerade

OCH/ELLER

ange formen för SSCD-stödet:

”QCWithSSCD”, ett kvalificerarvärde som betyder ”QC som stöds av en SSCD”, eller

”QCNoSSCD”, ett kvalificerarvärde som betyder ”QC som inte stöds av en SSCD”, eller

”QCSSCDStatusAsInCert” ett kvalificerarvärde som betyder att det garanteras att information om SSCD-stöd ska finnas i alla QC i Sdi/Sie-informationen i denna CA/QC-post

OCH/ELLER

ange utfärdande till juridisk person:

”QCForLegalPerson”, ett kvalificerarvärde som betyder ”certifikat utfärdat till en juridisk person”.

3.5   Tjänster som stöder CA/QC-tjänster men inte ingår i CA/QC Sdi

Giltighetsstatustjänster för QC där informationen om dennas giltighetsstatus (exempelvis CRL och OCSP-svar) signeras av en enhet vars privata nyckel inte är certifierad på en certifieringssökväg som leder till en förtecknad CA som utfärdar QC (nedan kallad CA/QC) ska registreras i den tillförlitliga förteckningen genom att dessa certifikattjänster förtecknas som de är i den tillförlitliga förteckningen (dvs. med tjänstetypen OCSP/QC respektive CRL/QC), eftersom dessa tjänster kan anses vara en del av de övervakade/ackrediterade kvalificerade tjänster som är relaterade till tillhandahållandet av QC-certifikattjänster. OCSP-respondrar eller CRL-utfärdare vars certifikat signeras av CA inom hierarkin för en CA/QC-tjänst som är upptagen i förteckningen ska givetvis betraktas som giltiga och förenliga med CA/QC-tjänstens statusvärde i förteckningen.

En liknande bestämmelse gäller för certifikattjänster som utfärdar icke-kvalificerade certifikat (av tjänstetypen CA/PKC).

I den tillförlitliga förteckningen ska certifikattjänster om giltighetsstatus ingå, om tillhörande platsinformation för sådana tjänster inte finns i de slutanvändarcertifikat som de tjänsterna avser.

4.   Definitioner och förkortningar

I detta dokument används följande förkortningar och akronymer:

Term

Förkortning

Definition

Tillhandahållare av certifikattjänster

CSP

I enlighet med definitionen i artikel 2.11 i direktiv 1999/93/EG.

Certifikatutfärdare

CA

1.

En tillhandahållare av certifikattjänster som skapar och tilldelar offentliga certifieringsnycklar, eller

2.

en teknisk certifikatskapartjänst som används av en CSP som skapar och tilldelar offentliga certifieringsnycklar.

ANMÄRKNING: Se klausul 4 i EN 319 411–2 (11) för en närmare förklaring av termen certifikatutfärdare.

Certifikatutfärdare som utfärdar kvalificerade certifikat

CA/QC

En CA som uppfyller kraven i bilaga II till direktiv 1999/93/EG och som utfärdar kvalificerade certifikat som uppfyller kraven i bilaga I till direktiv 1999/93/EG.

Certifikat

Certifikat

Enligt definitionen i artikel 2.9 i direktiv 1999/93/EG.

Kvalificerat certifikat

QC

Enligt definitionen i artikel 2.10 i direktiv 1999/93/EG.

Undertecknare

Undertecknare

Enligt definitionen i artikel 2.3 i direktiv 1999/93/EG.

Övervakning

Övervakning

Avser övervakning enligt artikel 3.3 i direktiv 1999/93/EG. Enligt direktiv 1999/93/EG ska medlemsstaterna införa ett lämpligt system som gör det möjligt att övervaka de CSP som är etablerade på deras territorium och som utfärdar kvalificerade certifikat till allmänheten, där övervakningen ska säkerställa att direktivet iakttas.

Frivillig ackreditering

Ackreditering

Enligt definitionen i artikel 2.13 i direktiv 1999/93/EG.

Tillförlitlig förteckning

TL

Förteckningen över övervaknings-/ackrediteringsstatus för certifikattjänster som CSP tillhandahåller som den berörda medlemsstaten övervakar/ackrediterar för iakttagande av direktiv 1999/93/EG.

Statusförteckning över tillförlitliga tjänster

TSL

En form av signerad förteckning som ligger till grund för presentation av uppgifter om tillförlitliga tjänsters status enligt specifikationerna i Etsi TS 119 612.

Tillförlitlig tjänst

 

Tjänst som ökar tilliten till och förtroendet för elektroniska transaktioner (oftast, men inte nödvändigtvis, med hjälp av krypteringsteknik eller med hjälp av konfidentiellt material) (Etsi TS 119 612).

ANMÄRKNING: Denna term har ett bredare användningsområde än certifikattjänster inom utfärdande av certifikat eller tillhandahållande av andra tjänster inom elektroniska signaturer.

Tillhandahållare av tillförlitliga tjänster

TSP

Organisation som tillhandahåller en eller flera (elektroniska) tillförlitliga tjänster (denna term har ett bredare användningsområde än CSP).

Igenkänningstecken för tillförlitlig tjänst

TrST

Ett fysiskt eller binärt (logiskt) objekt som genereras eller utfärdas genom en tillförlitlig tjänst. Exempel på binära TrST är certifikat, förteckningar över återkallade certifikat (CRL), igenkänningstecken för tidsmärkning (TST) och svar på onlinecertifikatstatusprotokoll (OCSP).

Kvalificerad elektronisk signatur

QES

En avancerad elektronisk signatur (AdES) som baseras på ett QC och som skapas med en SSCD enligt artikel 2 i direktiv 1999/93/EG.

Avancerad elektronisk signatur

AdES

Enligt definitionen i artikel 2.2 i direktiv 1999/93/EG.

Avancerad elektronisk signatur som baseras på ett kvalificerat certifikat

AdESQC

En elektronisk signatur som uppfyller kraven på en AdES och som baseras på ett QC enligt definitionen i artikel 2 i direktiv 1999/93/EG.

Säker anordning för skapande av signaturer

SSCD

Enligt definitionen i artikel 2.6 i direktiv 1999/93/EG.

I följande del av detta dokument ska nyckelorden (engelska inom parentes) SKA (MUST), FÅR INTE (MUST NOT), OBLIGATORISK (REQUIRED), SKA (SHALL), SKA INTE (SKA INTE), BÖR (SHOULD), BÖR INTE (SHOULD NOT), REKOMMENDERAD (RECOMMENDED), FÅR (MAY) och FRIVILLIG (OPTIONAL) tolkas enligt beskrivningen i RFC 2119 (12).

KAPITEL I

DETALJERADE SPECIFIKATIONER FÖR DEN GEMENSAMMA MALLEN FÖR DEN ”TILLFÖRLITLIGA FÖRTECKNINGEN ÖVER ÖVERVAKADE/ACKREDITERADE TILLHANDAHÅLLARE AV CERTIFIERINGSTJÄNSTER”

De föreliggande specifikationerna bygger på specifikationerna och kraven i Etsi TS 119 612 v1.1.1 (nedan kallat Etsi TS 119 612).

När inget särskilt krav anges i dessa specifikationer SKA kraven i Etsi TS 119 612, klausulerna 5 och 6, tillämpas i sin helhet. När specifika krav anges i de föreliggande specifikationerna SKA de ha företräde framför motsvarande krav i Etsi TS 119 612. I händelse av skillnader mellan föreliggande specifikationer och specifikationer från Etsi 119 612 SKA föreliggande specifikationer vara normativa.

Scheme operator name (klausul 5.3.4)

Detta fält SKA finnas och SKA följa specifikationerna i TS 119 612 klausul 5.3.4.

Ett land FÅR ha separata övervaknings- och ackrediteringsorgan och även ytterligare organ för eventuella driftsrelaterade verksamheter. Det åligger varje medlemsstat att utse den tillförlitliga förteckningens systemoperatör i medlemsstaten. Det förväntas av övervakningsorganet, ackrediteringsorganet och systemoperatören (när de är separata organ) ska ha egna ansvarsområden och skyldigheter.

Alla situationer där flera organ har ansvar för övervakning, ackreditering eller drift SKA konsekvent avspeglas och identifieras som sådana i systeminformationen i den tillförlitliga förteckningen, inklusive i den systemspecifika information som anges i fältet ”Scheme information URI” (klausul 5.3.7).

Scheme name (klausul 5.3.6)

Detta fält SKA finnas och SKA följa specifikationerna i TS 119 612 klausul 5.3.6 där följande namn SKA användas för systemet:

”EN_name_value”= ”förteckning över övervaknings-/ackrediteringsstatus för certifikattjänster från tillhandahållare av certifikattjänster som den angivna systemoperatörens medlemsstat övervakar/ackrediterar för iakttagande av Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer”.

Scheme information URI (klausul 5.3.7)

Detta fält SKA finnas och SKA följa specifikationerna i TS 119 612 klausul 5.3.7 där den ”ändamålsenliga informationen om systemet” SKA innehålla åtminstone följande:

Allmän för samtliga medlemsstater gemensam information om den tillförlitliga förteckningens omfattning och innehåll och underliggande övervaknings-/ackrediteringssystem. Den gemensamma text som ska användas är texten nedan, i vilken teckensträngen ”[namn på relevant medlemsstat]” SKA ersättas med namnet på den relevanta medlemsstaten:

”Föreliggande förteckning är den ’tillförlitliga förteckningen över övervakade/ackrediterade tillhandahållare av certifikattjänster’ som innehåller information om övervaknings-/ackrediteringsstatus för certifikattjänster från tillhandahållare av certifikattjänster (Certification Service Providers, CSP) som [namn på relevant medlemsstat] övervakar/ackrediterar för iakttagande av Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer.

Syftet med den tillförlitliga förteckningen är att

förteckna och tillhandahålla tillförlitlig information om övervaknings-/ackrediteringsstatusen för certifikattjänster från tillhandahållare av certifikattjänster som övervakas/ackrediteras av [namn på relevant medlemsstat] för iakttagande av direktiv 1999/93/EG,

möjliggöra en tillförlitlig validering av de elektroniska signaturer som baseras på de övervakade/ackrediterade certifikattjänsterna i förteckningen från CSP i förteckningen.

En medlemsstats tillförlitliga förteckning innehåller åtminstone uppgifter om övervakade/ackrediterade CSP:er som utfärdar kvalificerade certifikat i enlighet med direktiv 1999/93/EG (artiklarna 3.2, 3.3 och 7.1 a), inklusive (när detta inte ingår i QC) uppgifter om det QC som stöder den elektroniska signaturen och om signaturen skapas genom en säker anordning för skapande av signaturer eller inte.

De CSP som utfärdar QC och som ingår i den här förteckningen övervakas av [namn på den relevanta medlemsstaten] och kan också vara ackrediterade för iakttagande av direktiv 1999/93/EG, inklusive kraven i bilaga I (krav på QC) och i bilaga II (krav på CSP vilka utfärdar QC). Det tillämpliga övervakningssystemet (respektive frivilliga ackrediteringssystemet) föreskrivs i direktiv 1999/93/EG och ska uppfylla de kraven i detta, särskilt enligt artiklarna 3.3, 8.1 och 11 (artiklarna 2.13, 3.2, 7.1 a, 8.1 respektive 11).

Den tillförlitliga nationella förteckningen får på frivillig basis innehålla ytterligare information om andra övervakade/ackrediterade CSP som inte utfärdar QC utan tillhandahåller tjänster knutna till elektroniska signaturer (exempelvis CSP som erbjuder tidsmärkningstjänster och som utfärdar igenkänningstecken för tidsmärkning, CSP som utfärdar icke-kvalificerade certifikat osv.).”

Specifika uppgifter om de underliggande övervaknings-/ackrediteringssystemen och särskilt uppgifter om följande (13):

Det övervakningssystem som omfattar alla CSPQC.

I förekommande fall information om det nationella frivilliga ackrediteringssystem som omfattar alla CSPQC.

I förekommande fall information om det övervakningssystem som omfattar alla CSP som inte utfärdar QC.

I förekommande fall information om det nationella frivilliga ackrediteringssystem som omfattar alla CSP som inte utfärdar QC:

Denna specifika information SKA för varje underliggande system som anges ovan minst innehålla följande:

En allmän beskrivning.

Information om det förfarande som övervaknings-/ackrediteringsorganet tillämpar för att övervaka/ackreditera CSP och som CSP följer för övervakning/ackreditering.

Information om de kriterier som används för övervakningen/ackrediteringen av CSP.

I förekommande fall, specifik information om de särskilda kvalificeringar som vissa av de fysiska eller binära (logiska) objekt som genereras eller utfärdas till följd av tillhandahållandet av en certifikattjänst kan ha rätt till på grund av att de följer nationella bestämmelser och krav, inklusive innebörden av en sådan kvalificering och motsvarande nationella bestämmelser och krav.

Ytterligare medlemsstatsspecifik information om systemet FÅR lämnas frivilligt, exempelvis:

Uppgifter om vilka kriterier och bestämmelser som används för att välja ut övervakare/granskare och om hur övervakar (kontrollerar)/ackrediterar (granskar) CSP.

Andra kontaktuppgifter och allmän information om systemets drift.

Scheme type/community/rules (klausul 5.3.9)

Detta fält SKA finnas och SKA följa specifikationerna i TS 119 612 klausul 5.3.9 och SKA innehålla minst två URI:er:

En URI som är gemensam för alla medlemsstaters tillförlitliga förteckningar och som länkar till en beskrivande text som SKA tillämpas på samtliga tillförlitliga förteckningar enligt följande:

URI: http://uri.etsi.org/TrstSvc/TrustedList/schemerules/EUcommon

Beskrivande text:

Deltagande i ett system

Varje medlemsstat ska upprätta en ”tillförlitlig förteckning över övervakade/ackrediterade tillhandahållare av certifikattjänster”, som innehåller information om övervaknings-/ackrediteringsstatus för certifikattjänster från tillhandahållare av certifikattjänster (Certification Service Providers, CSP) som den aktuella medlemsstaten övervakar/ackrediterar för iakttagande av Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för elektroniska signaturer.

En hänvisning till det aktuella genomförandet av sådana tillförlitliga förteckningar ska också ingå i Europeiska kommissionens sammanställda förteckning med länkar till varje medlemsstats tillförlitliga förteckning.

Bestämmelser för bedömning av förteckningens tjänster

En medlemsstats tillförlitliga förteckning ska åtminstone innehålla uppgifter om de övervakade/ackrediterade CSP som utfärdar kvalificerade certifikat i enlighet med direktiv 1999/93/EG (artiklarna 3.2, 3.3 och 7.1 a), inklusive uppgifter om det kvalificerade certifikat (QC) som stöder den elektroniska signaturen och om signaturen skapas genom en säker anordning för skapande av signaturer eller ej.

De CSP som utfärdar kvalificerade certifikat (QC) ska den medlemsstat övervaka som de är etablerade i (om de är etablerade i en medlemsstat) och de får också ackrediteras för överensstämmelse med direktiv 1999/93/EG, inklusive kraven i bilaga I (krav på QC) och bilaga II (krav på CSP som utfärdar QC). CSP som utfärdar QC och som är ackrediterade i en medlemsstat ska ändå omfattas av det gällande övervakningssystemet i den medlemsstaten, utom när de inte är etablerade i den medlemsstaten. Det tillämpliga övervakningssystemet (respektive frivilliga ackrediteringssystemet) föreskrivs i direktiv 1999/93/EG och ska uppfylla de kraven i detta, särskilt enligt artiklarna 3.3, 8.1 och 11 (artiklarna 2.13, 3.2, 7.1 a, 8.1 respektive 11).

Den tillförlitliga nationella förteckningen får på frivillig basis innehålla ytterligare information om andra övervakade/ackrediterade CSP som inte utfärdar QC utan tillhandahåller tjänster knutna till elektroniska signaturer (exempelvis CSP som erbjuder tidsmärkningstjänster och som utfärdar igenkänningstecken för tidsmärkning, CSP som utfärdar icke-kvalificerade certifikat osv.).

CSP som inte utfärdar QC utan tillhandahåller stödtjänster kan omfattas av ett frivilligt ackrediteringssystem (enligt definitionen i och i enlighet med direktiv 1999/93/EG) och/eller ett nationellt godkännandesystem som tillämpas nationellt för iakttagande av direktiv 1999/93/EG och eventuella nationella bestämmelser om tillhandahållande av certifikattjänster (i den mening som avses i artikel 2.11 i direktiv 1999/93/EG). Vissa av de fysiska eller binära (logiska) objekt som genereras eller utfärdas genom tillhandahållandet av en certifikattjänst kan ha rätt till en särskild kvalificering på grund av att de uppfyller nationella bestämmelser och krav, men betydelsen av en sådan kvalificering är sannolikt begränsad enbart till den nationella nivån.

Tolkning av den tillförlitliga förteckningen

De allmänna riktlinjerna för användning av elektroniska signaturapplikationer, tjänster eller produkter som utgår från en tillförlitlig förteckning i enlighet med bilagan till kommissionens beslut (hänvisning till föreliggande beslut) är följande:

En registrering av CA/QC Sti (och även en CA/QC-registrering som kvalificeras ytterligare som en RootCA/QC genom tillägget Sie additionalServiceInformation)

betyder att alla utfärdade slutanvändarcertifikat även är kvalificerade certifikat (QC) från den CA som identifieras med tjänstens digitala identifikationskod (Sdi) (liksom inom CA-hierarkin, med början i genom identifierad Sdi rot-CA) för motsvarande CSP (se relaterade TSP-informationsfält), på villkor att de anges som sådana i certifikatet genom användning av lämpliga enligt EN 319 412–5 definierade QcStatements (dvs. QcCompliance, QcSSCD osv.) och/eller enligt EN 319 411–2 definierade QCP(+) OID:er (och detta garanteras av utfärdande CSP och kontrolleras av medlemsstatens övervaknings-/ackrediteringsorgan)

Anmärkning: Om Sie saknar kvalificeringstilläggsinformation eller om ett slutanvändarcertifikat som påstås vara ett QC inte identifieras ytterligare genom ett relaterat kvalificeringstillägg i Sie, ska den maskinläsbara informationen i QC övervakas/ackrediteras för att avgöra om den är korrekt. Detta innebär att det garanteras att användningen (eller ej) av lämpliga Etsi-definierade QcStatements (dvs. QcCompliance, QcSSCD osv.) och/eller Etsi-definierade QCP(+) OID:er är förenlig med vad den CSP hävdar som utfärdar QC.

och OM Sie innehåller kvalificeringstilläggsinformation, gäller – som tillägg till ovannämnda standardtolkningsregel för användningen – att om denna information i Sie (som bygger på principen med en filtersekvens som ytterligare identifierar en uppsättning certifikat) används för att identifiera certifikat, ska certifikaten bedömas med de relaterade kvalificerare som ger viss ytterligare information om status som kvalificerad, SSCD-stöd och/eller att certifikatet utfärdats till en juridisk person (exempelvis certifikat som innehåller en specifik OID i certifikatpolicytillägget och/eller har ett visst nyckelanvändningsmönster och/eller filtreras genom användning av ett visst värde så att de anges i ett visst certifikatfält eller tillägg osv.). Dessa kvalificerare ingår i följande uppsättning kvalificerare som används för att kompensera för bristen på information i motsvarande QC-innehåll och som används för att

statusen som kvalificerad: ”QCStatement” innebär att de identifierade certifikaten är kvalificerade

OCH/ELLER

ange formen för SSCD-stödet:

”QCWithSSCD”, ett kvalificerarvärde som betyder ”QC som stöds av en SSCD”, eller

”QCNoSSCD”, ett kvalificerarvärde som betyder ”QC som inte stöds av en SSCD”, eller

”QCSSCDStatusAsInCert” ett kvalificerarvärde som betyder att det garanteras att information om SSCD-stöd ska finnas i alla QC i informationen om Sdi/Sie i denna CA/QC-post

OCH/ELLER

ange utfärdande till juridisk person:

”QCForLegalPerson”, ett kvalificerarvärde som betyder ”certifikat utfärdat till en juridisk person”.

Den allmänna tolkningsregeln för alla andra Sti-posttyper är att den förtecknade tjänsten – enligt värdet i fältet Sn och som identifieras unikt i fältet Sdi – ska ha en aktuell övervaknings-/ackrediteringsstatus i enlighet med värdet i fältet Scs från och med det datum som anges i fältet ”Current status starting date and time”. Särskilda tolkningsregler för eventuell ytterligare information om en tjänst i förteckningen (exempelvis fältet ”Service information extensions”) finns i förekommande fall i medlemsstatsspecifik URI i fältet ”Scheme type/community/rules”.

För närmare uppgifter om fält, beskrivningar och innebörder i medlemsstaternas tillförlitliga förteckningar, se de tekniska specifikationerna för en gemensam mall för den tillförlitliga förteckningen över övervakade/ackrediterade tillhandahållare av certifikattjänster i bilagan till kommissionens beslut 2009/767/EG.”

En URI som är specifik för varje medlemsstats tillförlitliga förteckning och som länkar till en beskrivande text SKA tillämpas på denna medlemsstats tillförlitliga förteckning:

http://uri.etsi.org/TrstSvc/TrustedList/schemerules/CC där CC = den ISO 3166–1 (14) alpha-2-landskod som används i fältet ”Scheme territory” (klausul 5.3.10)

Där användare kan finna den aktuella medlemsstatens specifika bestämmelser, som tjänsterna enligt förteckningen SKA bedömas mot i enlighet med medlemsstatens övervakningssystem och frivilliga ackrediteringssystem.

Där användare kan finna den aktuella medlemsstatens specifika beskrivning av hur innehållet i den tillförlitliga förteckningen ska användas och tolkas vad gäller andra certifikattjänster än utfärdande av QC. Detta kan användas som indikation på en potentiell granularitet i de nationella övervaknings-/ackrediteringenssystemen för CSP som inte utfärdar QC och hur fälten ”Scheme service definition URI” (klausul 5.5.6) och ”Service information extension” (klausul 5.5.9) används för detta ändamål.

Medlemsstaterna FÅR skapa och använda ytterligare URI utifrån den ovannämnda medlemsstatsspecifika URI:n (dvs. URI som definierats genom denna hierarkiska specifika URI).

TSL policy/legal notice (klausul 5.3.11)

Detta fält SKA finnas och SKA följa specifikationerna i TS 119 612 klausul 5.3.11 där policyn/det juridiska meddelandet SKA vara en flerspråkig teckensträng (ren text) bestående av följande två delar och avse systemets juridiska status eller juridiska krav som systemet uppfyller i etableringslandet och/eller eventuella begränsningar och villkor för den tillförlitliga förteckningens underhåll och offentliggörande:

1.

En första, obligatorisk del som är gemensam för alla medlemsstaters tillförlitliga förteckningar (med brittisk engelska som obligatoriskt språk och eventuellt ett eller fler nationella språk) där det anges att den tillämpliga rättsliga ramen är direktiv 1999/93/EG och dess motsvarande tillämpning i lagstiftningen i den medlemsstat som anges i fältet ”Scheme Territory”.

Engelsk version av den gemensamma texten:

The applicable legal framework for the present TSL implementation of the Trusted List of supervised/accredited Certification Service Providers for [name of the relevant Member State] is Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures and its implementation in [name of the relevant Member State] laws.

Text på en medlemsstats nationella språk: [officiell översättning av ovanstående engelska text].

2.

En andra, valfri del, som är specifik för varje tillförlitlig förteckning (med brittisk engelska som det obligatoriska språket och eventuellt med ett eller flera nationella språk), med hänvisningar till särskilda tillämpliga nationella rättsliga ramar (som exempelvis främst gäller nationella övervaknings-/ackrediteringssystem för CSP som inte utfärdar QC).

KAPITEL II

TILLFÖRLITLIGA FÖRTECKNINGARS KONTINUITET

Certifikat som ska meddelas kommissionen enligt artikel 3 c i föreliggande beslut SKA utfärdas på ett sådant sätt att de

har minst tre månader mellan sina giltighetsdatum,

skapas på nya nyckelpar, eftersom inga tidigare använda nyckelpar får certifieras igen.

Om EN av de privata nycklar som motsvarar den öppna nyckel som kan användas för att validera den tillförlitliga förteckningens signatur röjs eller tas ur bruk och detta har meddelats kommissionen och publiceras i kommissionens centrala länkförteckningar, SKA medlemsstaterna

på nytt och utan dröjsmål utfärda en ny tillförlitlig förteckning med en inte röjd privat nyckel, om den offentliggjorda tillförlitliga förteckningen signerades med en röjd nyckel eller en nyckel som tagits ut bruk,

snarast tillställa kommissionen den nya förteckningen över offentliga nyckelcertifieringar som motsvarar de privata nycklar som kan användas till att signera den tillförlitliga förteckningen.

Om ALLA de privata nycklar röjs eller tas ur bruk som motsvarar de öppna nycklar som kan användas för att validera den tillförlitliga förteckningens signatur och detta har meddelats kommissionen och offentliggörs i kommissionens centrala länkförteckningar, SKA medlemsstaterna

generera nya nyckelpar som kan användas till att signera den tillförlitiga förteckningen och deras motsvarande offentliga nyckelcertifieringar,

på nytt och utan dröjsmål utfärda en ny tillförlitlig förteckning som har signerats med en av dessa nya privata nycklar och vars motsvarande offentliga nyckelcertifieringar ska meddelas,

snarast tillställa kommissionen den nya förteckningen över offentliga nyckelcertifieringar som motsvarar de privata nycklar som kan användas till att signera den tillförlitliga förteckningen.

KAPITEL III

SPECIFIKATIONER FÖR DEN MÄNNISKOLÄSBARA VERSIONEN AV DEN TILLFÖRLITLIGA FÖRTECKNINGEN

Om en människoläsbar form av den tillförlitliga förteckningen inrättas och offentliggörs BÖR den tillhandahållas i PDF-format (Portable Document Format) i ett dokument som följer ISO 32000 (15) och som SKA vara formaterat enligt profil PDF/A (ISO 19005 (16)).

Innehållet i den PDF/A-baserade människoläsbara versionen av den tillförlitliga förteckningen BÖR uppfylla följande krav:

Den människoläsbara versionens struktur BÖR återspegla den logiska mall som beskrivs i avsnitt TS 119 612.

Varje fält som ingår BÖR visas och innehålla följande information:

Fältets rubrik (exempelvis ”Service type identifier”).

Fältets värde (exempelvis ”CA/QC”).

Innebörden (beskrivning) av fältets värde, i förekommande fall (exempelvis ”En certifikatutfärdare som utfärdar offentliga nyckelcertifieringar”).

Flera versioner på naturliga språk enligt vad som används i den tillförlitliga förteckningen, i förekommande fall.

Åtminstone följande fält och motsvarande värden för de digitala certifikat som finns i fältet ”Service digital identity” BÖR återges i den människoläsbara versionen:

Version

Serienummer

Signaturalgoritm

Utfärdare

Giltigt från

Giltigt till

Ämne

Öppen nyckel

Certifikatpolicy

Föremålets nyckelidentifiering

CRL-distributionspunkter

Utfärdares nyckelidentifiering

Nyckelanvändning

Grundläggande begränsningar

Tumavtrycksalgoritm

Tumavtryck

Den människoläsbara versionen BÖR vara lätt att skriva ut.

Den människoläsbara versionen SKA vara signerad av systemoperatören enligt basprofilen för PAdES-signaturer (17).


(1)  I enlighet med definitionen i artikel 2.11 i direktiv 1999/93/EG.

(2)  I enlighet med definitionen i artikel 2.2 i direktiv 1999/93/EG.

(3)  Förkortningen ”AdESQC” nedan kommer att användas för en avancerad elektronisk signatur som baseras på ett kvalificerat certifikat.

(4)  Observera att det finns ett antal elektroniska tjänster som är baserade på enkla AdES vars gränsöverskridande användning också skulle underlättas om de stödjande certifikattjänsterna (exempelvis utfärdande av icke-kvalificerade certifikat) ingick i de övervakade/ackrediterade tjänster som förtecknas av en medlemsstat i delen med frivilliga uppgifter i den tillförlitliga förteckningen.

(5)  I enlighet med definitionen i artikel 2.10 i direktiv 1999/93/EG.

(6)  I enlighet med definitionen i artikel 2.6 i direktiv 1999/93/EG.

(7)  Etsi TS 119 612 v1.1.1 (2013–06) – Electronic Signatures and Infrastructures (ESI); Trusted Lists.

(8)  En tillhandahållare av certifikattjänster som är etablerad i en medlemsstat och som tillhandahåller en certifikattjänst som till en början övervakas av den medlemsstaten (övervakningsorganet) kan exempelvis efter en tid besluta sig för att frivilligt ackreditera den övervakade certifikattjänsten. En tillhandahållare i en annan medlemsstat kan, å andra sidan, besluta sig för att inte upphöra med en ackrediterad certifikattjänst utan flytta den från en ackrediteringsstatus till övervakningsstatus av affärsmässiga eller ekonomiska skäl.

(9)  Se Etsi EN 319 412–5 (Electronic Signatures and Infrastructures (ESI); Profiles for Trust Service Providers issuing certificates; Part 5: Extension for Qualified Certificate profile) för definitionen av en sådan deklaration.

(10)  Etsi EN 319 411–2 - Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates.

(11)  EN 319 411–2: Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 2: Policy requirements for certification authorities issuing qualified certificates.

(12)  IETF RFC 2119: ”Key words for use in RFCs to indicate Requirements Levels”.

(13)  De sista två punkterna är av kritisk betydelse för att beroende parter ska kunna bedöma kvaliteten och säkerhetsnivån på övervaknings-/ackrediteringssystem som tillämpas på CSP som inte utfärdar QC. Dessa uppsättningar av uppgifter ska tillhandahållas på tillförlitlig förteckningsnivå genom användning av fälten ”Scheme information URI” (klausul 5.3.7 – information som tillhandahålls av medlemsstaten), ”Scheme type/community/rules” (klausul 5.3.9 – med en text som är gemensam för alla medlemsstater) och ”TSL policy/legal notice” (klausul 5.3.11 – en text som är gemensam för alla medlemsstater med hänvisning till direktiv 1999/93/EG, tillsammans med en möjlighet för varje medlemsstat att lägga till medlemsstatsspecifika texter/hänvisningar). Ytterligare information om nationella övervaknings-/ackrediteringssystem för CSP som inte utfärdar QC får i förekommande fall och om så krävs tillhandahållas på tjänstenivå (exempelvis för att skilja mellan flera kvalitets- eller säkerhetsnivåer) genom användning av fältet ”Scheme service definition URI” (klausul 5.5.6).

(14)  ISO 3166–1:2006: ”Codes for the representation of names of countries and their subdivisions Part 1: Country codes”.

(15)  ISO 32000–1:2008: Document management – Portable document format – Part 1: PDF 1.7.

(16)  ISO 19005–2:2011: Document management – Electronic document file format for long-term preservation – Part 2: Use of ISO 32000–1 (PDF/A-2).

(17)  Etsi TS 103 172 (mars 2012) – Electronic Signatures and Infrastructures (ESI); PAdES Baseline Profile.


Top