Docs Italia beta

Documenti pubblici, digitali.

Regole Tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

4.1. Profilo dei certificati qualificati

Per la generazione dei certificati qualificati, sono indicate le seguenti raccomandazioni:

  1. Conformità con quanto stabilito nella specifica RFC 5280 e nelle norme ETSI EN 319-412-1 versione 1.1.1, EN 319-412-2 versione 2.1.1, EN 319-412-3 versione 1.1.1, EN 319-412-4 versione 1.1.1 e EN 319-412-2 versione 2.1.1.
  2. L’estensione KeyUsage è presente e marcata critica. Il solo KeyUsage ammesso per i certificati qualificati di firma elettronica è il “Type A,” come descritto nella citata norma ETSI EN 319-412-2.
  3. Al fine di ottemperare a quanto prescritto negli allegati I (lettera h), III (lettera h) e IV (lettera i) del regolamento eIDAS, è utilizzato l’accessMethod id-ad-caIssuers, con accessLocation uniformResourceIdentifier.
  4. L’estensione authorityKeyIdentifier (ᴏɪᴅ 2.5.29.35) contiene almeno il campo keyIdentifier, non marcata critica.
  5. Il campo SubjectDN (dati identificativi del titolare) è caratterizzato da:
    1. Il serialNumber (ᴏɪᴅ 2.5.4.5) - nei certificati di firma elettronica e autenticazione di siti web rilasciati a persone fisiche - contiene il codice fiscale del titolare indicato con il prefisso TIN, come prescritto dalla norma ETSI EN 319-412-1 (es. TINIT-CCCNNN64T30H501H). Esclusivamente nel caso in cui al titolare non sia stato assegnato un codice fiscale dall’autorità italiana è possibile indicare analogo numero di identificazione fiscale rilasciato da altra autorità dell’Unione utilizzando il prefisso TIN ovvero gli estremi di un documento di riconoscimento utilizzando i prefissi IDC o PAS ovvero un numero di registrazione nazionale utilizzando il prefisso PNO, come prescritto dalla norma EN 319-412-1. Nel caso in cui il titolare sia una persona fisica non dotata di codice fiscale o carta di identità italiana, ma dotata di permesso di soggiorno, si applica quanto previsto dal punto 6 del paragrafo 5.1.3 della norma EN 319-412-1 utilizzando il prefisso RP. Nei casi in cui la legge dello Stato di residenza della persona fisica non consenta l’utilizzo di nessuno dei precedenti codici, si applica quanto previsto dal punto 6 del paragrafo 5.1.3 della norma EN 319-412-1 utilizzando il prefisso NS per identificare lo schema nazionale. In tale evenienza, il pre- statore di servizi fiduciari deve inserire un codice univoco, eventualmente derivato da uno dei predetti.
    2. L’organizationName (ᴏɪᴅ 2.5.4.10) dei certificati di firma elettronica, eventual- mente utilizzato per indicare l’appartenenza o l’affiliazione del titolare all’organiz- zazione e esclusivamente nel caso in cui il prestatore di servizi fiduciari abbia avuto e conservi prova della volontà dell’organizzazione medesima a tale uso e che la stessa si assuma l’obbligo di richiedere la revoca del certificato nel caso in cui il titolare del certificato lasci l’organizzazione. Nel caso in cui l’organizationName sia presente, i medesimi vincoli si applicano anche all’eventuale codifica dell’attributo title. L’attributo title, se presente, contiene il ruolo del titolare in linguaggio naturale e, facoltativamente, una seconda parte costituita da un codice numerico derivato dai codici delle professioni pubblicati da ISTAT. Nel caso in cui sia presente, il codice ISTAT della professione è preceduto dalla stringa :: (esadecimale 0x3A3A, e title=descrizioneInLinguaggioNaturale::codiceNumerico). L’organizationName non è utilizzato nel caso in cui il titolare sia un semplice cliente dell’organizzazione.
    3. Il dnQualifier (ᴏɪᴅ 2.5.4.46) che contiene il codice identificativo del titolare presso il prestatore del servizio. Tale codice è univoco nell’ambito del prestatore del servizio.
    4. La possibilità di inserire nell’attributo description (ᴏɪᴅ 2.5.4.13) il codice EORI (Economic Operator Registration and Identification) di cui al Regolamento (UE) №312/2009 del 16 aprile 2009 e successive modificazioni. In tal caso il codice stesso è preceduto dal testo EORI e dal carattere “:” (esadecimale 0x3A).
  6. Al fine di normalizzare l’uso della sintassi dall’identificatore ‘legal person semantics identifier’ descritto nel paragrafo 5.1.4 della norma ETSI EN 319-412-1, nel caso di organizzazioni non dotate né di partita IVA né di NTR, ma solamente del codice fiscale, è possibile utilizzare la modalità descritta al numero 3 del paragrafo 5.1.4, utilizzando i due caratteri “CF” (esempio: CF:IT-97735020584).
  7. Salvo quanto disposto nelle citate norme ETSI, eventuali ulteriori limiti d’uso sono inseriti nell’attributo explicitText del campo userNotice dell’estensione certificatePolicies. Sul sito istituzionale dell’Agenzia sono pubblicati i testi e le codifiche delle limitazioni d’uso che è auspicabile siano garantite agli utenti.
  8. È fortemente sconsigliato l’utilizzo dei caratteri wildcard come * (esadecimale 0x2A) in tutti i nomi di dominio nei certificati qualificati di autenticazione di siti web.
  9. Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.