Certificatore Accreditato Postecom S.p.A. Servizio Postecert Firma Digitale

Transcript

1 Certificatore Accreditato Servizio Postecert Firma Digitale Guida alla comprensione degli OID presenti nei certificati rilasciati da ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 1 di 23

2 Indice 1 INTRODUZIONE POSTECOM CA1 (OID ), POSTECOM CA2 (OID ) E POSTECOM CA3 (OID ) CERTIFICATI ELETTRONICI AUSILIARI RICHIESTA DI REVOCA PER I CERTIFICATI QUALIFICATI ED ELETTRONICI AUSILIARI RICHIESTA DI RIATTIVAZIONE PER I CERTIFICATI QUALIFICATI ED ELETTRONICI AUSILIARI CERTIFICATI ELETTRONICI Revoca e sospensione Riattivazione CERTIFICATI PER CNS POSTECOM CS1 (OID ) POSTECOM CS2 E POSTECOM CS3 (OID ) POSTECOM TIME STAMPER CA (OID ) DOCUMENTI DI RIFERIMENTO ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 2 di 23

3 1 Introduzione I certificati emessi da Postecom si distinguono nelle seguenti tipologie: Certificati relativi ad Autorità di Certificazione Certificati di Marcatura Temporale Certificati Qualificati per la Firma Elettronica Qualificata e Firma Digitale Certificati Elettronici Certificati per Carta Nazionale dei Servizi Certificati per Web Server Certificati per Firma Codice Ciascun certificato è individuato da uno o più OID (Object Identifier) che ne definiscono l ambito di utilizzo. All interno della struttura del certificato, il campo Certificate Policy" contiene il riferimento ai valori di OID cui il certificato si riferisce. Nel caso siano presenti più OID, questi sono da intendersi uno per la gestione della vita del certificato di CA e i rimanenti per la gestione del certificato del Titolare. Ad esempio, per i certificati qualificati, oltre all OID relativo alla policy che descrive il certificato qualificato, viene riportato un ulteriore OID relativo alla chiave di Certificazione utilizzata per emettere tali certificati. Tale opzione è valida per l Autorità di Certificazione PostecomCA1. Di seguito vengono individuate le autorità di certificazione utilizzate da Postecom per l emissione dei propri certificati. AUTORITÀ DI CERTIFICAZIONE TIPOLOGIA OID DESCRIZIONE FIGLI Certificato di Certificazione Postecom CA1 Certificati qualificati Certificati elettronici Any policy Postecom CA2 Certificati qualificati Certificati elettronici Certificati per CNS Any policy Postecom CA3 Certificati qualificati Certificati elettronici Certificati per CNS Postecom TimeStamper CA Certificati di marcatura temporale Certificato di CA per Web Postecom CS2 Certificati per web server ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 3 di 23

4 Server Certificati client Certificati per firma codice Postecom CS3 (dal 9 marzo 2011) Certificati per web server Certificati client Certificati per firma codice Certificato di CA per certificati di sicurezza Postecom CS1 Certificati elettronici Per tutte le tipologie di certificati emessi, in base alla loro classe di appartenenza (certificati qualificati, elettronici, per web server, per CNS) è disponibile all indirizzo Firma Digitale, la versione elettronica aggiornata dei documenti di riferimento: il Manuale Operativo, ed il presente documento. Per ciascuna Autorità di Certificazione, vengono nel seguito indicate le tipologie dei certificati emessi, i relativi OID e la descrizione dell ambito di utilizzo. POSTECOM CA1 (OID ) TIPOLOGIA OID DESCRIZIONE Certificato Qualificato CQ CQ per firme automatiche Certificato Elettronico oppure oppure Dispositivo hw Dispositivo sw Certificato ausiliario POSTECOM CA2 (OID ) TIPOLOGIA OID DESCRIZIONE Certificato Qualificato CQ CQ per firme automatiche Certificato Elettronico oppure oppure Dispositivo hw Dispositivo sw Certificato ausiliario ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 4 di 23

5 Certificato per CNS Certificato di autenticazione per CNS POSTECOM CA3 (OID ) TIPOLOGIA OID DESCRIZIONE Certificato Qualificato CQ CQ per firme automatiche Certificato Elettronico oppure oppure Dispositivo hw Dispositivo sw Certificato ausiliario Certificato per CNS Certificato di autenticazione per CNS POSTECOM TIME STAMPER CA (OID ) TIPOLOGIA OID DESCRIZIONE Certificato di Marcatura Temporale Servizio di marcatura temporale CA PER WEB SERVER (OID ) TIPOLOGIA OID DESCRIZIONE Certificato per web server Certificati per web server Certificati client Certificati di firma codice CA PER CERTIFICATI DI SICUREZZA (OID ) TIPOLOGIA OID DESCRIZIONE Certificato elettronico Dispositivo hw Dispositivo sw Software functional certificate OID for IDABC Framework Certificati per firma codice ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 5 di 23

6 Si riporta uno schema riassuntivo degli OID a partire dalla radice riservata a Postecom Per semplicità di rappresentazione, alcuni OID non sono riportati. L elenco completo è quello indicato nelle tabelle precedenti. Da notare che i certificati emessi per le CNS presentano, oltre all OID riferito a un ulteriore OID definito all interno delle Linee Guida emanate dall Agenzia per l Italia Digitale (ex DigitPA) che utilizza un ramo differente ( ). ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 6 di 23

7 ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 7 di 23

8 2 Postecom CA1 (OID ), Postecom CA2 (OID ) e Postecom CA3 (OID ) In conformità a quanto previsto dalla Direttiva Europea e recepito nella normativa italiana, Postecom rilascia: certificati qualificati per l apposizione di firme elettroniche qualificate e digitali; certificati elettronici per funzionalità legate alle firme elettroniche ed ai servizi di sicurezza, come ad esempio firma/cifratura di , cifratura di documenti, autenticazione a siti web e logon ai domini windows con active directory. Postecom, in qualità di Certificatore Accreditato ai sensi della normativa vigente, rilascia certificati qualificati secondo quanto descritto all interno del "Manuale Operativo Postecert Firma Digitale vigente, depositato presso l Agenzia per l Italia Digitale (ex-digitpa) e disponibile on line all indirizzo - Firma Digitale Manuali Operativi. Secondo quanto previsto dalla normativa vigente, il Certificatore che rilascia certificati qualificati è tenuto a identificare con certezza la persona che fa richiesta del servizio di certificazione. Le modalità con cui Postecom assolve a questo requisito sono riportate all interno del Manuale Operativo sopra citato. Il profilo del certificato qualificato emesso prevede la valorizzazione dei campi così come stabiliti Deliberazione CNIPA numero 45 del 21 maggio In particolare: keyusage (OID: ), che contiene esclusivamente il valore nonrepudiation (bit 1 impostato a 1). L estensione è marcata critica. Tale attributo indica che la pratica firmata in formato elettronico ed ha lo stesso valore legale di una pratica cartacea sottoscritta in forma autografa. dnqualifier (OID: ), contiene il codice identificativo del titolare presso il certificatore. Detto codice, assegnato dal certificatore, è univoco nell ambito dei sistemi del certificatore stesso. qcstatements, identificate nel documento ETSI TS come segue: 1) id-etsi-qcs-qccompliance (OID: ); 2) id-etsi-qcs-qclimitvalue (OID: ) se presente indica i limiti di negoziazione; 3) id-etsi-qcs-qcretentionperiod (OID: ) il valore indicato all interno dei certificati è pari 20 ; 4) id-etsi-qcs-qcsscd (OID: ) valorizzata ed indica che la chiave privata di firma risiede su un dispositivo sicuro givenname e surname (OID: e ), che contengono rispettivamente il nome ed il cognome del titolare del certificato organizationname (OID: ), che contiene, se applicabile, la ragione sociale o la denominazione e il codice identificativo dell organizzazione che ha richiesto o autorizzato il rilascio del certificato del titolare. Nel caso di utenti privati l organizationname, assume sempre il valore NON PRESENTE ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 8 di 23

9 serialnumber (OID: ) che contiene il codice fiscale del titolare rilasciato dall autorità fiscale dello Stato di residenza del titolare o, in mancanza, un analogo codice identificativo, quale ad esempio un codice di previdenza sociale o un codice identificativo generale. Di seguito i valori di OID riservati ai certificati qualificati: OID Descrizione Certificato Qualificato Certificato Qualificato utilizzato per l apposizione di firme automatiche Come previsto dalla Deliberazione CNIPA n. 45 del 21 maggio 2009 Regole per il riconoscimento e la verifica del documento informatico, gli eventuali limiti d'uso (tra cui, ad esempio, il limite d uso all interno dell Organizzazione di appartenenza) sono inseriti nell'attributo explicittext del campo usernotice dell'estensione certificatepolicies. Sul sito istituzionale dell Agenzia per l Italia Digitale (ex- DigitPA) sono riportate alcune tipologie di limiti d uso garantiti agli utenti ai sensi dell articolo 12, comma 6, lettera c) della Deliberazione CNIPA 21 maggio 2009, n. 45. Di seguito è riportato uno schema riassuntivo circa alcune caratteristiche peculiari dei certificati emessi con Postecom CA1, Postecom CA2, Postecom CA3 e, dei relativi OID. ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 9 di 23

10 ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 10 di 23

11 2.1 Certificati Elettronici Ausiliari Appartenenti a questa tipologia di certificati sono quelli elettronici ausiliari che vengono emessi contestualmente ai certificati qualificati. Tali certificati vengono emessi per poter fornire ai titolari funzionalità crittografiche aggiuntive quali la cifratura di documenti elettronici, l integrazione con i sistemi di office automation messi a disposizione in ambiente Microsoft (quali la firma e cifratura di con Outlook e Outlook Express, ed altri client che supportano le funzionalità crittografiche utilizzando lo strato middleware CSP e PKCS#11), la firma debole di documenti, l autenticazione forte a siti web protetti con certificati per web server e l autenticazione tramite smart card ai domini di rete Windows (Windows Logon). Poiché vengono emessi contestualmente ai certificati qualificati, i certificati elettronici ausiliari prevedono modalità di rilascio e caratteristiche del ciclo di vita conformi alle specifiche riportate all interno del Manuale Operativo Postecert Firma Digitale vigente, la cui copia elettronica, custodita presso l Agenzia per l Italia Digitale (ex DigitPA), è disponibile all indirizzo Firma Digitale-Manuali Operativi. Rispetto ai certificati qualificati, cambia la valorizzazione di alcuni campi in base all uso che di questi certificati è possibile farne, in particolare: il keyusage non è mai valorizzato con nonrepudiation, ma con uno o più attributi tra digitalsignature, key Encipherment e data Encipherment. Il valore OID riservato a questa tipologia di certificati elettronici è: OID Oltre all OID relativo alla policy specifica rispetto alla tipologia di certificato, nel campo Certificate Policy, in caso di emissione con chiave PostecomCA1, viene indicato anche l OID relativo al certificato di CA utilizzato per l emissione. Il titolare della carta con a bordo il certificato qualificato e il certificato elettronico ausiliario può richiedere i servizi di certificazione sia in qualità di soggetto privato, che come persona appartenente ad una Organizzazione. In questo secondo caso potrà far comparire, all interno di specifici campi del certificato, tale informazione. Il rilascio di certificati nell ambito di Organizzazioni prevede la stipula di specifici accordi tra le Parti in cui dovrà essere individuato, come previsto dalla normativa vigente, il Terzo Interessato, nel seguito del documento anche Referente. Nel caso sia prevista la figura del Referente, questi rappresenta l Organizzazione nei confronti del Certificatore, ed ha il compito di richiedere l'emissione dei certificati dei titolari appartenenti alla medesima Organizzazione e, di richiederne la revoca nel caso mutino i requisiti in base ai quali il certificato dei titolari appartenenti all Organizzazione è stato rilasciato. Per una trattazione esaustiva del servizio si rimanda al Manuale Operativo Firma Digitale vigente. ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 11 di 23

12 Di seguito si riporta una tabella riassuntiva con le principali caratteristiche. ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 12 di 23

13 Tipo Utenza Identifica- Dispositivo di Ruolo (*) Sospensione Revoca Emissione del zione firma certificato qualificato utilizzato e, dove previsto, ausiliario Terzo SI Smart card o Referente (Terzo Proprio/Altrui Presso il Certificatore Appartenente ad Organizzazione Interessato (Referente) dispositivo centralizzato (l emissione del certificato è opzionale e su richiesta dell Organizz azione) Titolare SI Smart card o dispositivo centralizzato Interessato). (*) valido in caso di richiesta del certificato da parte dell Organizzazione Secondo valori del tracciato record fornito dal Referente dell Organizzazione di appartenenza del Titolare Cartacea Cartacea Proprio Sosp immediata Cartacea (ONLINE) Cartacea Sosp immediata (ONLINE) Cartacea Presso il Certificatore Con postazione presso l Organizzazione cliente Titolare SI Smart card o Secondo quanto Sosp immediata Cartacea Presso il Certificatore Privata dispositivo centralizzato inserito nella fase di registrazione al servizio ed autocertificato (ONLINE) Cartacea La richiesta di sospensione online è possibile esclusivamente per certificati emessi dalle seguenti chiavi di certificazione: Postecom CA1, Postecom CA2 e Postecom CA Richiesta di revoca per i certificati qualificati ed elettronici ausiliari Il processo prevede l invio di una comunicazione via al Titolare e, nei casi previsti, al Terzo Interessato ed al Titolare appartenente alla medesima Organizzazione. Soggetto richiedente Modalità di inoltro della richiesta di revoca Certificato proprio Certificati del Titolari appartenenti alla Organizzazione (certificati richiesti o autorizzati dal Terzo Interessato della medesima Organizzazione) ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 13 di 23

14 Referente dell Organizzazione di appartenenza del Titolari Titolare (appartenente ad Organizzazione) Sospensione immediata ONLINE (revoca a motivo sospensione fino alla naturale scadenza dei certificati rilasciati) Richiesta (revoca o revoca a motivo sospensione) sottoscritta cartacea o sottoscritta digitalmente. Nel caso di richiesta cartacea il titolare deve recarsi presso l ufficio presso il quale ha svoltola fase di identificazione Nel caso di sottoscrizione digitale la richiesta può essere inoltrata a Postecom al seguente indirizzo registrazione@postecom.it Sospensione immediata ONLINE (revoca a motivo sospensione fino alla naturale scadenza dei certificati emessi) Richiesta sottoscritta cartacea o sottoscritta digitalmente Titolare (Privato) Richiesta (revoca o revoca a motivo sospensione) sottoscritta cartacea o sottoscritta digitalmente. Nel caso di richiesta cartacea il titolare deve recarsi presso un ufficio postale abilitato al Servizio Nel caso di sottoscrizione digitale la richiesta può essere inoltrata a Postecom al seguente indirizzo registrazione@postecom.it Sospensione immediata ONLINE (revoca a motivo sospensione fino alla naturale scadenza dei certificati emessi) La richiesta di sospensione online è possibile esclusivamente per certificati emessi dalle seguenti chiavi di certificazione: Postecom CA1, Postecom CA2 e Postecom CA Richiesta di riattivazione per i certificati qualificati ed elettronici ausiliari La fase di riattivazione di un certificato qualificato è possibile esclusivamente nel caso di certificato in stato sospeso. Nel caso in cui il certificato, all atto della richiesta, risulta revocato, la richiesta non sarà accettata e sarà cura del Titolare o del Terzo Interessato, nei casi previsti, a richiedere un nuovo dispositivo e certificato. ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 14 di 23

15 Il processo prevede l invio di una comunicazione via al Titolare e, nei casi previsti, al Terzo Interessato ed al Titolare appartenente alla medesima Organizzazione. Soggetto richiedente Modalità di inoltro della richiesta di riattivazione Certificato proprio Certificati del Titolari Organizzazione di appartenenza (richiesti o autorizzati dal Terzo Interessato della medesima Organizzazione) Referente Titolare (appartenente ad Organizzazione) Titolare (Privato) Richiesta sottoscritta dal rappresentante legale dell Organizzazione Richiesta sottoscritta ed identificazione presso l Ufficio Delegato della propria Organizzazione di appartenenza. Richiesta sottoscritta presentata presso un Ufficio Postale Abilitato. Richiesta sottoscritta cartacea o sottoscritta digitalmente con evidenza della motivazione della riattivazione. In questo caso il modulo deve essere compilato anche dall Ufficio Delegato che dovrà svolgere la fase di identificazione del Titolare. ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 15 di 23

16 2.4 Certificati Elettronici Oltre ai certificati qualificati e a quelli elettronici ausiliari, Postecom rilascia altre tipologie di certificati, genericamente definiti elettronici. Le possibili applicazioni dei certificati elettronici sono sostanzialmente le stesse di quelle valide per i certificati elettronici ausiliari, con la diversità che i primi non vengono emessi contestualmente ai certificati qualificati, e quindi le modalità di rilascio sono più snelle rispetto a quanto previsto per il rilascio dei certificati qualificati/elettronici ausiliari. Inoltre anche il supporto non è necessariamente un dispositivo sicuro di firma, ma possono essere rilasciati anche sotto forma di file o all interno di smart card non corrispondenti ai requisiti di sicurezza e certificazione imposti dalla normativa vigente. Tra gli usi dei certificati elettronici, ricordiamo anche l autenticazione tramite smart card ai domini di rete Windows. Alcuni Sistemi Operativi Windows per la gestione del dominio di rete (Windows 2000/2003 nella versione Server) presentano funzionalità native di autenticazione al dominio mediante certificato elettronico su smart card oltre che tramite user-id e password. Per l emissione dei certificati elettronici, è responsabilità del soggetto dell Organizzazione o del Progetto di appartenenza, garantire che il flusso complessivo risulti corretto e che i dati forniti siano congruenti ai soggetti per i quali viene richiesta la certificazione. Con l inoltro dei dati di registrazione nelle modalità specificate da Postecom, l Organizzazione si fa carico di fornire le informazioni richieste dal Certificatore garantendone l autenticità, la correttezza e la completezza. Postecom, ricevuti i dati di registrazione nel formato previsto, provvede all emissione dei certificati e all inoltro del lotto di carte e buste cieche (qualora previste) all Organizzazione richiedente. Qualora l invio dei dati è elettronico, per l espletamento delle proprie attività, potrà essere fornita una smart card al soggetto indicato dall Organizzazione o del Progetto di appartenenza tipicamente con certificato qualificato e certificato elettronico ausiliario a bordo. Per questa tipologia di certificati non viene prevista l identificazione diretta del singolo richiedente da parte di personale Postecom, rimanendo la correttezza del flusso complessivo affidata alla dichiarazione del soggetto che rappresenta l Organizzazione, che si fa carico anche della corretta consegna delle carte al singolo titolare direttamente o attraverso personale delegato. Per i Titolari dei certificati elettronici il supporto può essere hardware (per esempio smart card o altro dispositivo) o software (file). La smart card come dispositivo che conserva la chiave privata fornisce maggiori garanzie circa la sicurezza degli elementi in essa contenuti. Viceversa, nel caso di file, la chiave privata relativa al certificato è facilmente esportabile e duplicabile, quindi le garanzie di sicurezza sono sicuramente minori. L informazione sull utilizzo di un dispositivo di firma rispetto all altro viene riportata all interno del certificato nel campo che contiene il relativo identificativo (OID) come viene evidenziato nella tabella successiva. ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 16 di 23

17 OID Tipo di supporto oppure oppure Supporto hardware Supporto software Nel caso sia presente un secondo OID, questo è relativo alla gestione di vita della specifica CA utilizzata. Di seguito uno schema riassuntivo delle principali caratteristiche. Utenza Identificazione Supporto Ruolo Sospensione Revoca Emissione Riferimento Proprio Presso Appartenente Organizzazione Organizzazione. Titolare Come certificato elettronico ausiliario Riferimento Organizzaz. HW Secondo valori del tracciato record SW fornito dal Riferimento Organizzazione ONLINE Cartacea ONLINE Cartacea Altrui Cartacea Certificatore Presso Certificatore con postazione presso l Organizzazion e cliente La richiesta di sospensione online è possibile esclusivamente per certificati emessi dalle seguenti chiavi di certificazione: Postecom CA1, Postecom CA2 e Postecom CA Revoca e sospensione Il processo prevede l invio di una comunicazione via al Titolare e, nei casi previsti, al Riferimento dell Organizzazione ed al Titolare appartenente alla medesima Organizzazione. Soggetto richiedente Riferimento Organizzazione Modalità di inoltro della richiesta di revoca Certificato proprio Sospensione immediata ONLINE (*) (revoca a motivo sospensione fino alla naturale scadenza dei certificati emessi) Certificati altrui Richiesta sottoscritta cartacea o sottoscritta digitalmente Titolare Sospensione immediata ONLINE (revoca a motivo sospensione fino alla naturale scadenza dei certificati emessi) La richiesta di sospensione online è possibile esclusivamente per certificati emessi dalle seguenti chiavi di certificazione: Postecom CA1, Postecom CA2 e Postecom CA3. ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 17 di 23

18 2.4.2 Riattivazione Il processo prevede l invio di una comunicazione via al Titolare e, nei casi previsti, al Riferimento dell Organizzazione ed al Titolare appartenente alla medesima Organizzazione. Soggetto richiedente Riferimento Organizzazione Modalità di inoltro della richiesta di riattivazione Certificato proprio Richiesta sottoscritta Certificati altrui Richiesta sottoscritta cartacea o sottoscritta digitalmente con indicazione della fase di riconoscimento effettuata del titolare del certificato ed appartenente ad organizzazione (in caso in cui sia previsto nell ambito del progetto di riferimento) ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 18 di 23

19 2.5 Certificati per CNS La Carta Nazionale dei Servizi (CNS) è lo strumento individuato dalla normativa vigente per autenticare i cittadini ai servizi on line resi disponibili dalle Pubbliche Amministrazioni. La CNS contiene il certificato di autenticazione emesso secondo un profilo X.509 stabilito nelle Linee Guida emanate dal Centro Nazionale per l Informatica nella Pubblica Amministrazione (CNIPA oggi DIGITPA). L Amministrazione emittente è responsabile dell identificazione del titolare e della consegna della carta al suo legittimo proprietario. La Pubblica Amministrazione che fornisce le CNS definisce inoltre le procedure di gestione del ciclo di vita, personalizzazione e rilascio delle carte ai cittadini. I certificati sono emessi da un Certificatore Accreditato e presente nella lista dedicata alle chiavi di certificazione che emettono suddetti certificati. Per i certificati emessi dal Certificatore Postecom, i valore OID riservati a questa tipologia di certificati elettronici sono: OID Il valore OID è un valore assegnato nelle Linee Guida sopra menzionate e non deriva dalla radice riservata a Postecom ( ). Tutti i certificati per CNS emessi da Postecom avranno infatti il medesimo OID riportato nel campo policy del certificato, oltre al proprio OID ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 19 di 23

20 3 Postecom CS1 (OID ) I certificati elettronici potranno essere emessi, oltre che con Postecom CA1, anche con una differente CA, rivolta genericamente a servizi di sicurezza. Le modalità di emissione sono sostanzialmente identiche al caso di certificati elettronici. Il campo Certificate Policy riporterà in questo caso il riferimento alla CA di emissione: Tipicamente l autorità di certificazione Postecom CS1 potrà emettere certificati elettronici intestati anche a servizi oppure a Titolari appartenenti o meno ad Organizzazioni. Tali certificati possono essere utilizzati all interno di servizi specifici messi a disposizione da Enti, Aziende o Pubbliche Amministrazioni. Inoltre, Postecom CS1 potrà essere utilizzata per emettere certificati di firma codice. In questo caso, non è garantito il riconoscimento automatico di tali certificati (proprietà che è invece garantita con Postecom CS2, come meglio descritto nel paragrafo successivo). I valori OID riservati a questa tipologia di certificati elettronici sono dunque pari a: OID Tipo di supporto Certificati elettronici su supporto hardware oppure Certificati elettronici su supporto software Certificati elettronici per la firma codice ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 20 di 23

21 4 Postecom CS2 e Postecom CS3 (OID ) Tali CA vengono utilizzate principalmente per il rilascio di certificati per web server. I Certificati per Web Server permettono di instaurare una comunicazione protetta tra un web server ed un browser. In particolare, autenticano l identità del sito al quale ci si collega, l identità della Società titolare del sito, l appartenenza di questo ultimo ad essa e assicurano la cifratura delle informazioni. La chiave di certificazione (di lunghezza 2048 bit) con la quale vengono emessi i singoli certificati per Web Server è stata firmata con un certificato (CyberTrust Global Root Certificate) o nel caso della chiave Postecom CS3 con un certificato (Baltimore CyberTrust Root) presente all interno degli archivi dei browser più diffusi quali Internet Explorer e Netscape Navigator, anche nelle versioni meno aggiornate. La presenza del certificato su questa lista garantisce una completa interoperabilità tra sistemi e applicazioni, traendo vantaggio dalle impostazioni di sicurezza pre-adottate dai browser più comuni. Le modalità di rilascio, il ciclo di vita e le caratteristiche generali del servizio di Certificazione Postecert Certificati Web Server sono descritte nell apposito Manuale Operativo, disponibile nell area Download della sezione Certificati per Web Server del sito postecert.poste.it Tali autorità di certificazione possono essere utilizzate anche per l emissione di certificati client o per firma codice. Quest ultima tipologia di certificati permette di firmare codici per scopi diversi (eseguibili, ActiveX, plugin, applet ecc.), in modo da garantire l identità del soggetto firmatario (che può essere o una persona fisica o una persona giuridica) e assicurare l integrità del codice. Tali certificati vengono emessi con la CA utilizzata per i certificati web server, la cui root è predisposta per rilasciare anche certificati client e per firma codice. Utilizzando questa tipologia di certificati, non compare quindi alcun messaggio di warning dai browser in quanto il certificato di root utilizzato viene automaticamente riconosciuto per tale scopo. I certificati emessi a partire dalla CA Postecom CS2 presentano i seguenti OID: OID Tipologia di certificati Web server Client Firma codice ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 21 di 23

22 5 Postecom Time Stamper CA (OID ) I certificati di marcatura temporale vengono utilizzati per emettere marche temporali a documenti elettronici di qualunque genere (ad esempio documenti per i quali viene effettuata la conservazione sostitutiva, fatture elettroniche, documenti connessi a transazioni web). Le marche temporali permettono di associare una data e ora certe e opponibili a terzi ai documenti ai quali sono apposte. Per una maggiore trattazione delle caratteristiche del servizio si rimanda al "Manuale Operativo Postecert Firma Digitale" vigente. OID Tipologia di certificati Marche temporali per i documenti Marche temporali per le attività di certificazione ver.: 3.1 del:26/04/2013 Guida Comprensione OID Documento pubblico Pagina 22 di 23