DigitPA MANUALE OPERATIVO PER IL SERVIZIO DIGITPA CERTIFICATI SERVER - CERTIFICATE PRACTICE STATEMENT -

Transcript

1 Manuale operativo Certificati Server 2. UFFICIO SICUREZZA DELLE INFRASTRUTTURE E DEI CENTRI DI SERVIZIO MANUALE OPERATIVO PER IL SERVIZIO DIGITPA CERTIFICATI SERVER - CERTIFICATE PRACTICE STATEMENT - Redatto da: Data Firma A. ROSSI Approvato da: M. TERRANOVA MO_Certificazione_Server 1 di 29

2 Manuale operativo Certificati Server 2. DISTRIBUZIONE Disponibile in forma Non Controllata MO_Certificazione_Server 2 di 29

3 Manuale operativo Certificati Server 2. INDICE 1 MODIFICHE DOCUMENTO DEFINIZIONI RIFERIMENTI NORMATIVI INTRODUZIONE DATI IDENTIFICATIVI DEL CERTIFICATORE MANUALE OPERATIVO DATI IDENTIFICATIVI DEL MANUALE OPERATIVO RESPONSABILE DEL MANUALE OPERATIVO GENERALITÀ E APPLICABILITÀ CERTIFICATION AUTHORITY (CA) REGISTRATION AUTHORITY (RA) RICHIEDENTE UTENTE TIPOLOGIA DI CERTIFICATI SUPPORTO ASSISTENZA VIA SERVIZIO INTERNET CONDIZIONI GENERALI DI EROGAZIONE DEL SERVIZIO OBBLIGHI DEL CERTIFICATORE OBBLIGHI DEL RICHIEDENTE RESPONSABILITÀ DEL CERTIFICATORE Verso il Richiedente PUBBLICAZIONE E DIRECTORY Informazioni sulla CA CERTIFICATI E CRL LEGGE APPLICABILE E FORO COMPETENTE PROCESSI OPERATIVI REGISTRAZIONE DELL ORGANIZZAZIONE REGISTRAZIONE DEL SERVER VERIFICA DEI DATI GENERAZIONE DEL CERTIFICATO PUBBLICAZIONE DEL CERTIFICATO ACCETTAZIONE DEL CERTIFICATO INSTALLAZIONE DEL CERTIFICATO VARIAZIONE DEI DATI DI REGISTRAZIONE REVOCA DEL CERTIFICATO Richiesta di revoca da parte del Richiedente... 2 MO_Certificazione_Server 3 di 29

4 Manuale operativo Certificati Server Richiesta di revoca da parte della CA RIEMISSIONE DEL CERTIFICATO GESTIONE DEGLI ARCHIVI LIVELLI DI SERVIZIO GESTIONE GUASTI E DISASTER RECOVERY ASPETTI DI SICUREZZA PROTEZIONE FISICA DEI LOCALI SICUREZZA DEL SISTEMA DI CERTIFICAZIONE Identificazione e autenticazione Controllo accessi Tracciamento Integrità e Non ripudio Comunicazioni SICUREZZA DEL MODULO CRITTOGRAFICO SICUREZZA DEGLI ELABORATORI SICUREZZA DELLA RETE PROFILO DEI CERTIFICATI CERTIFICATO RADICE CNIPA CA CERTIFICATO SERVER TIPO POSTA ELETTRONICA CERTIFICATA CERTIFICATO SERVER TIPO AUTENTICAZIONE CERTIFICATO SERVER TIPO WEB SERVER CNIPA CA Profilo di un certificato Web Server MODULISTICA MO_Certificazione_Server 4 di 29

5 Manuale operativo Certificati Server 2. 1 MODIFICHE DOCUMENTO DESCRIZIONE MODIFICA EDIZIONE DATA Prima emissione 1. 23/12/25 Nominativo Presidente CNIPA Nuova infrastruttura di certificazione Nuovi profili certificati CNIPA CA3 Nuova denominazione ente ed ufficio emittente Revisione normativa Eliminazione riferimenti a CA dismessa 1.1 Gennaio MO_Certificazione_Server 5 di 29

6 Manuale operativo Certificati Server 2. 2 DEFINIZIONI Nel seguito vengono invece indicati i termini specifici utilizzati nel presente Manuale. Amministrazione CA DEFINIZIONE DESCRIZIONE Amministrazione/Ente pubblico centrale o locale. Certification Authority CACNIPA L infrastruttura organizzativa e tecnologica, realizzata nel 24 dal CNIPA-Ufficio Servizi Sicurezza e Certificazione (oggi Ufficio Sicurezza delle Infrastrutture e dei ), che è subentrata nei compiti e attività della CACTRUPA. La CNIPA CA continua ad erogare certificati per fino alla realizzazione della apposita CA. Certificatore Soggetto che presta servizi di certificazione delle firme elettroniche o che fornisce altri servizi connessi a quest ultime. CNIPA Il Centro nazionale per l Informatica nella Pubblica Amministrazione, che ha operato (fino al 28 Dicembre 29) presso la Presidenza del Consiglio dei Ministri, è stato istituito con l articolo 176 del Decreto legislativo n. 196 del 3 giugno 23, in sostituzione dell Autorità per l informatica nella Pubblica Amministrazione. A decorrere dal 1 gennaio 24, a seguito dell art. 5 del decreto legislativo 5 dicembre 23, n. 343, il CNIPA è divenuto Titolare anche dei compiti, funzioni e attività esercitate dal Centro Tecnico, tra cui quella di certificazione. CPS Certificate Practice Statement il presente documento CRL Certificate Revocation List - lista dei certificati revocati CSR Certificate Signing Request. Richiesta di certificazione MO_Certificazione_Server 6 di 29

7 Manuale operativo Certificati Server 2. DEFINIZIONE DESCRIZIONE Gestore PEC Gestore di infrastruttura o Gestore Manuale operativo A decorrere dal 29 Dicembre 29, a seguito del decreto 1 dicembre 29, n. 177 il CNIPA viene riordinato con nuova denominazione. Società/Amministrazione che gestisce un servizio di Posta Elettronica Certificata Gestore dell infrastruttura aggiudicatario di una specifica gara d appalto tra i certificatori accreditati. Il presente documento, detto anche CPS PEC Posta Elettronica Certificata di cui al D.P.R. 11 febbraio 25, n. 68 PKI RA RSA Infrastruttura a Chiave Pubblica (Public Key Infrastructure). Registration Authority Rivest-Shamir-Adleman SSL Secure Socket Layer. Protocollo sicuro di comunicazione su una rete TCP/IP specificatamente destinata alla securizzazione dell accesso ai siti Web. MO_Certificazione_Server 7 di 29

8 Manuale operativo Certificati Server 2. 3 RIFERIMENTI NORMATIVI Il è conforme a quanto previsto dalla legge italiana e in particolare: RIFERIMENTO [DPR445] [CODAMM] DESCRIZIONE DPR 28 dicembre 2, n 445 e successive modificazioni Decreto Legislativo 5 marzo 25, n.82 e successive modificazioni [DPCM239] DPCM 3 marzo 29 [CNIPACR48] Circolare CNIPA. 6/9/25 n 48 [CNIPADL459] Deliberazione CNIPA 21/5/29 n 45 [DLVO1963] Decreto Legislativo 3 giugno 23, n. 196 Codice in materia di protezione dei dati personali [DM274] Decreto Ministeriale 2 luglio 24 [DPR685] D.P.R. 11 febbraio 25, n. 68 [DMPEC] Decreto del Ministro per l Innovazione e le Tecnologie, contenente le Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata del 2 novembre 25 [CNIPACR56] Circolare CNIPA. 21/5/29 n 56 MO_Certificazione_Server 8 di 29

9 Manuale operativo Certificati Server 2. 4 INTRODUZIONE Con Decreto 1 Dicembre 29, n. 177 il CNIPA è stato riorganizzato in un nuovo ente, denominato che subentra al CNIPA nelle attività di certificazione. Fino alla realizzazione di una apposita infrastruttura di certificazione, continuerà ad utilizzare l infrastruttura operativa contenente la precedente denominazione del CNIPA. Con il D.P.R. 11 febbraio 25, n. 68 ed il Decreto del Ministro per l Innovazione e le Tecnologie del 2 novembre 25, contenente le Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata, è attribuito in via esclusiva al CNIPA (e quindi a ) il compito di rilasciare ai gestori della Posta Elettronica Certificata i certificati server automaticamente riconosciuti dai prodotti di mercato. Il presente, altresì indicato come Certificate Pratice Statement (CPS), definisce le procedure applicate dal Certificatore relativamente alla emissione di certificati digitali per server. Le tipologie di certificati server prodotti sono tre: o Certificati per la firma delle ricevute per la Posta Elettronica Certificata (PEC); o Certificati per l autenticazione ai siti Web; o Certificati Web Server; Per la prima tipologia di certificati si precisa che sono utilizzati dai server dei gestori della Posta Elettronica Certificata ai fini della firma delle ricevute delle operazioni di invio e consegna. La seconda tipologia può essere utilizzata per autenticare un sistema che funge da client nell ambito di un colloquio SSL in cui si richiede l autenticazione di entrambe le parti coinvolte. In particolare, nell ambito del progetto PEC vengono utilizzati per l accesso all indice dei gestori della PEC. La terza tipologia è quella destinata all autenticazione dei server Web sempre nell ambito di connessioni sicure SSL. Questa categoria è ad esclusivo uso di e del precedente CNIPA. MO_Certificazione_Server 9 di 29

10 Manuale operativo Certificati Server 2. 5 DATI IDENTIFICATIVI DEL CERTIFICATORE I dati identificativi relativi a sono i seguenti: Denominazione e Ragione sociale Rappresentante legale Sede legale Fabio Pistella Viale Marx, 31/ Roma Telefono Fax Sede operativa Indirizzo Indirizzo Internet Viale Marx, 31/ Roma urp@digitpa.gov.it Call Center MO_Certificazione_Server 1 di 29

11 Manuale operativo Certificati Server 2. 6 MANUALE OPERATIVO 6.1 Dati identificativi del Manuale operativo Il presente Manuale operativo è identificato attraverso il numero di versione 2. Esso si riferisce ai servizi di: Certificazione di chiavi pubbliche per la firma delle ricevute di Posta Elettronica Certificata. Certificazione di chiavi pubbliche di autenticazione del client SSL per server; Certificazione di chiavi pubbliche per Web Server. Il presente è referenziato dal seguente OID (Object Identifier Number): Certificazione chiavi pubbliche server Il corrispondente file in formato elettronico è identificato dal nome MO_DIGITPA_Certificati_Server_v2 ed è consultabile per via telematica all indirizzo Internet: Responsabile del Manuale operativo Il Responsabile del Manuale operativo è: Responsabile del Manuale operativo Nome Cognome Mario Terranova Telefono terranova@digitpa.gov.it MO_Certificazione_Server 11 di 29

12 Manuale operativo Certificati Server 2. 7 GENERALITÀ E APPLICABILITÀ 7.1 Certification Authority (CA) Per l erogazione di certificati di chiave pubblica rivolti a soddisfare esigenze di sicurezza in Internet, prevede l utilizzo di una CA che consente il riconoscimento dei certificati emessi agli utenti finali con i prodotti di mercato (i.e. Internet Explorer, Netscape Navigator, Outlook). Dal 1/1/28 è operativa un infrastruttura che utilizza una chiave di certificazione denominata CNIPA CA3. La CA con la quale vengono emessi i singoli certificati per server è stata certificata dalla Autorità di Certificazione GTE CyberTrust Global Root, il cui certificato radice è preistallato nella quasi totalità dei prodotti di mercato. In questo modo, senza bisogno di alcun intervento da parte dell utente, è possibile: il riconoscimento dell attendibilità delle firme elettroniche apposte dai gestori PEC; l accesso e l autenticazione ai siti Web mediante connessione SSL. Figura 7.1 1: Gerarchia di certificazione di CNIPA CA3 Dal punto di vista organizzativo, per l emissione dei certificati da parte della CA CNIPA CA3 sfrutta il facility management fornito dal certificatore accreditato In.Te.Sa. S.p.A., membro dell RTI aggiudicataria della gara CG-SICA. MO_Certificazione_Server 12 di 29

13 Manuale operativo Certificati Server 2. L infrastruttura di CNIPA CA3 è collocata presso il CG-SICA, ove opera In.Te.Sa., all interno della sede di I.Net sita in Via Leofreni 4, Roma 7.2 Registration Authority (RA) La funzione di verifica della documentazione di registrazione fornita dal Richiedente è svolta da. Le richieste di certificazione, una volta validate, sono inoltrate dalla RA di all omologa funzione di RA svolta dal gestore di infrastruttura, la quale ha il compito di effettuare ulteriori controlli formali prima di passare le richieste alla funzione CA per l emissione dei certificati. 7.3 Richiedente Il servizio di certificazione è svolto da a favore dei soli gestori di Posta Elettronica Certificata. 7.4 Utente È il soggetto che, tramite il proprio prodotto, instaura una comunicazione SSL con il web server certificato o verifica le firme elettroniche dei gestori PEC. 7.5 Tipologia di certificati Il presente CPS si riferisce all emissione e gestione di certificati per:. o chiavi pubbliche per la firma delle ricevute di Posta Elettronica Certificata. o chiavi pubbliche di autenticazione del client SSL per server; o chiavi pubbliche per Web Server. MO_Certificazione_Server 13 di 29

14 Manuale operativo Certificati Server 2. 8 SUPPORTO 8.1 Assistenza via L'assistenza relativa alla CNIPA CA3 è disponibile via all indirizzo: o helpdesk@spcoop.gov.it. 8.2 Servizio Internet Per avere maggiori informazioni sul presente CPS o sul servizio è possibile inviare una all'indirizzo: o urp@digitpa.gov.it MO_Certificazione_Server 14 di 29

15 Manuale operativo Certificati Server 2. 9 CONDIZIONI GENERALI DI EROGAZIONE DEL SERVIZIO La presente sezione disciplina il rapporto di servizio intercorrente tra ed il Richiedente il certificato per server. Il Richiedente prima di richiedere l emissione di un certificato è tenuto a leggere ed approvare le condizioni generali di erogazione del servizio riportate all interno del CPS. Con la sottoscrizione dei moduli di registrazione e di nomina del responsabile server, di cui al paragrafo Registrazione del Richiedente, il firmatario dichiara di aver preso conoscenza ed approvare tali condizioni. I rapporti per l erogazione dei servizi di certificazione per server sono sottoposti alla legge italiana., nell erogazione dei propri servizi, opera conformemente alla normativa sulla protezione dei dati personali (privacy). 9.1 Obblighi del Certificatore si impegna a: o Verificare, secondo quanto descritto all interno del presente CPS, la correttezza della documentazione fornita con la richiesta di certificazione; o Rilasciare e rendere pubblico il certificato in accordo ai requisiti descritti nel presente CPS; o Dare comunicazione, mediante pubblicazione nelle Liste di Revoca (CRL), della revoca dei certificati. 9.2 Obblighi del Richiedente Il Richiedente è obbligato a: o Fornire in fase di registrazione informazioni e documentazione veritiere; o Generare e conservare la propria chiave privata in sicurezza, adottando le necessarie precauzioni per evitare danni, alterazioni o usi non autorizzati della stessa; o Inviare la richiesta di certificazione con le modalità indicate nel presente CPS; o Installare il certificato digitale rilasciato da in base al presente CPS unicamente sul server corrispondente al nome indicato nel medesimo certificato (relativo al campo CommonName); o Informare tempestivamente nel caso in cui le informazioni presenti nel certificato rilasciato non siano più valide, richiedendo la revoca del certificato stesso; o Informare tempestivamente nel caso in cui ritenga che la sicurezza del server su cui è stato installato il certificato possa essere stata compromessa, richiedendo la revoca del certificato stesso; MO_Certificazione_Server 15 di 29

16 Manuale operativo Certificati Server 2. o Provvedere immediatamente a rimuovere dal server il certificato per il quale è stata richiesta la revoca. 9.3 Responsabilità del Certificatore Verso il Richiedente non è responsabile, nei confronti del Richiedente o di utenti terzi, per eventuali danni, di qualsiasi tipo, derivanti dalla mancata emissione del certificato o da un uso improprio del certificato. La responsabilità di, nei confronti del Richiedente o di terzi, è comunque limitata al costo di emissione del certificato, fatti salvi i casi in cui l art del Codice Civile non consente tale limitazione. 9.4 Pubblicazione e directory Informazioni sulla CA dal 17 Dicembre 27, utilizza il certificato denominato CNIPA CA3, operativo per i gestori dal 1 gennaio 28. Per l intero periodo di validità dei certificati server emessi in conformità al presente CPS, si impegna a pubblicare sul proprio sito web il presente CPS. Si riportano di seguito i dati salienti dei certificati di CA dedicati al servizio descritto nel presente CPS: Dato CNIPA CA3 Soggetto (Subject) Emittente (Issuer) Valore C=IT, O= Centro Nazionale per l Informatica nella PA C=US, O=GTE Corporation, = GTE CyberTrust Solutions, Inc., CN= GTE CyberTrust Global Root Periodo di validità Dal al 17/12/ Certificati e CRL I certificati X.59v3 emessi dalle CA sono pubblicati in directory server X.5, accessibili mediante il protocollo LDAP v2 e v3. Le CRL sono pubblicate nei medesimi Directory LDAP. Le CRL sono aggiornate nei Directory LDAP una volta al giorno. Gli indirizzi dei suddetti directory server sono: CNIPA CA3 ldapca.spcoop.gov.it. MO_Certificazione_Server 16 di 29

17 Manuale operativo Certificati Server Legge applicabile e Foro Competente Le presenti Condizioni Generali sono soggette alla legge italiana. Per le controversie che dovessero insorgere tra le parti in relazione alle disposizioni del presente CPS, competente a giudicare sarà esclusivamente il Foro di Roma. MO_Certificazione_Server 17 di 29

18 Manuale operativo Certificati Server 2. 1 PROCESSI OPERATIVI 1.1 Registrazione dell Organizzazione Questo processo è a cura del richiedente: L organizzazione che intende avvalersi dei servizi di certificazione server offerta da invia una lettera nella quale nomina un responsabile dell organizzazione, comunicandone i riferimenti telefonici ed , al quale sono assegnati i compiti di interfaccia attiva con nelle fasi di registrazione e regolazione del ciclo di vita del certificato. 1.2 Registrazione del Server Questo processo è a cura del richiedente. La procedura da seguire, valida per ogni server da certificare, è la seguente: 1. Il Responsabile dell Organizzazione compila il modulo Nomina del Responsabile del Server ; 2. Il Responsabile del Server compila il modulo Richiesta di Registrazione ; 3. Il Responsabile del Server genera, secondo le modalità previste dal sistema, la coppia di chiavi pubblica/privata da certificare e la relativa richiesta di certificazione (CSR). In particolare, la CSR contiene il nome del server da certificare (CommonName) che, nel caso di Web Server, dovrà corrispondere al dominio internet intestato all Organizzazione richiedente. 4. La Richiesta di Registrazione, unitamente alla Nomina del Responsabile Server e alla richiesta CSR costituiscono la Richiesta di emissione certificato. Il Richiedente deve inviare le richieste di emissione certificato come indicato nella Procedura per la richiesta di emissione certificato pubblicata all indirizzo Internet Verifica dei dati Al ricevimento delle informazioni, provvederà a: 1. controllare il file con la richiesta di certificazione e verificare la coerenza con i dati contenuti nel Modulo di Registrazione; 2. nel caso di certificato Web Server: a. Verificare la univocità del nome di tipo X.5 (Distinguished Name, DN) nell'ambito dei propri certificati emessi; MO_Certificazione_Server 18 di 29

19 Manuale operativo Certificati Server 2. b. Controllare l'attribuzione del dominio internet relativo al Web Server alla Società/Ente/Amministrazione richiedente la certificazione; 3. verificare l autenticità della richiesta tramite controllo telefonico o verifica della firma digitale se apposta sui moduli di registrazione e nomina. Se tutte le verifiche avranno avuto esito positivo, la RA (lato ) trasmetterà il file con la richiesta di certificazione alla RA (lato gestore di infrastruttura), che lo trasmetterà alla CA (lato gestore di infrastruttura), autorizzando la generazione del certificato. non darà corso all emissione del certificato qualora i dati comunicati non risultino corretti o siano incompleti in base ai riscontri delle verifiche poste in essere. 1.4 Generazione del certificato Una volta ricevuta l'approvazione della RA, la CA verificherà che il formato PKCS#1 della richiesta sia corretto. Se le verifiche previste hanno esito positivo, la CA genera il certificato in accordo al profilo descritto nel paragrafo Profilo dei certificati. In particolare il DN apparirà come valore del campo Subject del certificato. Se le verifiche non hanno esito positivo,, tramite la propria RA, notifica al richiedente l'evento, richiedendo la generazione di una nuova richiesta di certificazione. 1.5 Pubblicazione del certificato Il certificato viene pubblicato nel Directory Server X.5 associato alla CA ed inviato all'indirizzo di posta elettronica del Responsabile dell Organizzazione e al Responsabile del Server autorizzato. 1.6 Accettazione del Certificato Nel caso il Richiedente riscontri eventuali imprecisioni o difetti del certificato, questi è tenuto ad informare immediatamente tramite comunicazione all indirizzo di posta elettronica pec@digitpa.gov.it. Altrimenti, il certificato verrà ritenuto accettato dal Richiedente. Se trascorsi 5 (cinque) giorni lavorativi dall invio al Richiedente non sono pervenute segnalazioni, il certificato verrà considerato accettato. Accettando il certificato, il Richiedente dichiara di accogliere i termini e le condizioni contenute nel presente CPS. 1.7 Installazione del certificato Al ricevimento del certificato, il Richiedente potrà installarlo sul server, seguendo le istruzioni dello specifico prodotto utilizzato. MO_Certificazione_Server 19 di 29

20 Manuale operativo Certificati Server Variazione dei dati di registrazione Il Richiedente deve informare tempestivamente nel caso in cui sopravvengano delle variazioni dei dati contemplati nel paragrafo Registrazione del Richiedente. Se le variazioni riguardano dati presenti sul certificato, il Richiedente deve altresì richiedere per iscritto la revoca del certificato. si riserva la facoltà di revocare il certificato del Richiedente nel caso in cui la variazione dei dati di registrazione lo richieda. 1.9 Revoca del certificato La revoca di un certificato si completa con la sua pubblicazione nella lista di revoca firmata dal Certificatore (CRL). Il certificato revocato non ha più validità ed il Richiedente deve provvedere immediatamente a rimuovere il certificato relativo dal server associato Richiesta di revoca da parte del Richiedente Il Richiedente deve richiedere la revoca del certificato nelle seguenti circostanze: o nel caso in cui voglia cessare il rapporto con ; o nel caso in cui le informazioni presenti sul certificato rilasciato non siano più valide; o nel caso in cui ritenga che la sicurezza del server su cui è stato installato il certificato sia stata compromessa. Quest'ultima circostanza deve essere prontamente rilevata e comunicata; in ogni caso il non assume alcuna responsabilità per l'uso improprio della chiave privata associata alla chiave pubblica certificata. Per richiedere la revoca, il Richiedente deve inviare un fax su carta intestata e appositamente sottoscritto al numero , o una mail contenente in allegato detta richiesta sottoscritta digitalmente all indirizzo pec@digitpa.gov.it; in cui venga esplicitamente richiesta la revoca del certificato per server con l indicazione almeno della Ragione Sociale del Richiedente e del nome del server in oggetto. In seguito alla ricezione del fax, o della , provvederà ad effettuare un controllo per verificare l autenticità della richiesta. La richiesta di revoca sarà verificata dalla RA che, in caso di verifica positiva, inoltrerà la richiesta alla CA. Il Certificato revocato sarà inserito nella CRL. Il servizio per richiedere la revoca è attivo dal Lunedì al Venerdì, dalle ore 8:3 alle ore17:. MO_Certificazione_Server 2 di 29

21 Manuale operativo Certificati Server Richiesta di revoca da parte della CA può autonomamente revocare il certificato di un Richiedente solamente nelle seguenti circostanze: o evidenza della variazione dei dati contenuti nel certificato; o evidenza dell'uso improprio del certificato. In ambedue i casi,, dopo aver effettuato la revoca, lo comunica al Richiedente. 1.1 Riemissione del certificato La riemissione del certificato a seguito di variazione dati, revoca o scadenza viene gestita come emissione di un nuovo certificato Gestione degli archivi mantiene la documentazione di richiesta di emissione di certificato e di revoca per due anni dopo la scadenza del relativo certificato. Traccia delle informazioni operative è mantenuta nel database della CA di cui viene effettuato il backup giornaliero Livelli di servizio La generazione del certificato avviene entro 8 (otto) giorni lavorativi dal ricevimento della Richiesta emissione certificato. La revoca del certificato avviene entro 2 (due) giorni lavorativi dal ricevimento della richiesta, entro il periodo di disponibilità del servizio (dal Lunedì al Venerdì, dalle 8:3 alle 17:). L'accesso ai Directory Server ed alle CRL è disponibile 7 giorni su 7, 24 ore su 24, salvo i fermi per manutenzione programmata Gestione guasti e disaster recovery Tutti gli elaboratori usati per l'erogazione del servizio di certificazione sono coperti da un contratto di manutenzione che garantisce l'intervento in 8 (otto) ore. In caso di compromissione dei programmi o dei dati è previsto il loro ripristino a partire dai backup. MO_Certificazione_Server 21 di 29

22 Manuale operativo Certificati Server ASPETTI DI SICUREZZA 11.1 Protezione fisica dei locali I sistemi tecnologici utilizzati per l erogazione del servizio sono situati in un area protetta, il cui accesso è consentito esclusivamente al personale del gestore dell infrastruttura e di espressamente autorizzato, ed è controllato mediante dispositivi di riconoscimento biometrico, autenticazione forte e telecamere a circuito chiuso. Gli edifici dei gestori sono sorvegliati e protetti 24 ore su 24, 7 giorni su Sicurezza del sistema di certificazione La piattaforma di gestione delle attività di certificazione, composta da vari moduli appartenenti alla suite software UniCERT della Baltimore Technologies, offre le seguenti funzioni di sicurezza: Identificazione e autenticazione L accesso ai moduli applicativi della piattaforma avviene mediante identificazione dell'utente. Il meccanismo di autenticazione è previsto anche per l avvio e/o fermo del servizio legato al modulo applicativo Controllo accessi L accesso ai moduli applicativi della piattaforma avviene mediante meccanismi di strong authentication. L accesso ai moduli è consentito solo previa verifica del corretto inserimento della passphrase Tracciamento Tutte le applicazioni in esecuzione all interno del sistema di certificazione del Certificatore mantengono traccia su appositi database delle operazioni effettuate. Sono prodotti dei log in formato testo, ove vengono riportate le informazioni relative ad avvio, arresto ed allarmi relativi ai servizi legati ai moduli applicativi, nonché i riferimenti delle eventuali modifiche di configurazione apportate ai servizi. Ciascuna registrazione all interno dei log è firmata digitalmente. MO_Certificazione_Server 22 di 29

23 Manuale operativo Certificati Server Integrità e Non ripudio o Firma digitale dei messaggi. Tutti i messaggi inviati dai singoli moduli sono firmati in modo digitale. o Verifica dei messaggi: i moduli verificano tutti i messaggi che ricevono per assicurarsi della loro integrità ed autenticità. o Archiviazione dei dati: tutti i dati e gli audit log sono registrati nel database relativo a ciascun modulo. Tali registrazioni sono firmate in modo digitale dai moduli proprietari del DB. Ogni registrazione ha un numero d identificazione univoco Comunicazioni Le comunicazioni tra i moduli avvengono mediante il protocollo PKIX Sicurezza del modulo crittografico Per la generazione delle firme digitali viene utilizzato l algoritmo RSA (Rivest-Shamir- Adleman). Tutti i certificati emessi a partire dai certificati relativi alle chiavi di certificazione, fino ai certificati relativi alle chiavi pubbliche dei server vengono firmati utilizzando l algoritmo RSA. Lo stesso algoritmo RSA deve essere utilizzato dal Richiedente per generare la propria coppia di chiavi. Le chiavi pubbliche dei server hanno lunghezza massima pari a 124 bit, le chiavi di certificazione sono lunghe 248 bit. Per quel che concerne le funzioni di hash, viene utilizzata la funzione definita nello standard ISO/IEC :1998 per la generazione dell impronta digitale: Dedicated Hash-Function 3, corrispondente alla funzione SHA Sicurezza degli elaboratori Il sistema operativo dei sistemi di elaborazione utilizzati nelle attività di certificazione, nella generazione dei certificati e nella gestione del registro dei certificati, è conforme almeno alle specifiche previste dalla classe ITSEC F-C2/E2 o a quella C2 delle norme TCSEC. I sistemi sono configurati in modo tale da ridurre al minimo il rischio di alterazione delle configurazioni. Sono quindi previsti, nel normale uso dei sistemi stessi, dei profili con diritti di accesso non assimilabili a quelli amministrativi. MO_Certificazione_Server 23 di 29

24 Manuale operativo Certificati Server Sicurezza della rete L infrastruttura di rete prevede una prima linea costituita da un sistema firewall, configurato in alta affidabilità, che filtra il traffico da Internet verso la rete DMZ, dove risiedono i server che devono essere accessibili da Internet (come il Directory Server ed il Web Server che pubblica le CRL), ed una seconda linea che filtra il traffico tra rete DMZ e Secure LAN, dove sono invece installati i sistemi per la certificazione. L'utilizzo di questa tecnologia offre la possibilità di utilizzare il NAT Network Address Translation per "mascherare" gli ip interni verso la rete Internet, permette di intercettare i tentativi di creare interruzioni al servizio con attacchi di tipo DoS SYN flood, impostare regole Antispoofing, limitare gli accessi in un arco temporale definibile in maniera granulare. Al fine di analizzare in tempo reale i pacchetti che viaggiano in rete e di attivare, laddove viene riscontrata una attività sospetta, le dovute protezioni (blocco di indirizzi IP, interruzione di connessioni, invio di trap) ed allarmi, è in utilizzo un sistema di Intrusion Detection che si basa su un database di vulnerabilità costantemente aggiornato. I servizi in DMZ vengono erogati con copertura di 24 ore al giorno per 7 giorni la settimana, con un presidio dal lunedì al venerdì dalle ore 8. alle ore 2. ed una copertura nelle ore non presidiate e festivi tramite una struttura di reperibilità a 2 livelli. Le segnalazioni di allarme vengono inviate tramite SMS e tramite chiamata telefonica da un sistema di monitoraggio centralizzato. MO_Certificazione_Server 24 di 29