Docs Italia beta

Documenti pubblici, digitali.

Regole Tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate
Progetto: Documenti in consultazione
Amministrazione: AGID
Informazioni
Sorgente
Azioni

Regole Tecniche e Raccomandazioni afferenti la generazione di certificati elettronici qualificati, firme e sigilli elettronici qualificati e validazioni temporali elettroniche qualificate

Nota

Linee guida contenenti regole tecniche ex art. 71 del CAD

Definizioni

Ai fini del presente regolamento, oltre ad applicarsi le definizioni di cui all’articolo 1 del CAD, si intende per:

  • Agenzia: l’Agenzia per l’Italia Digitale;
  • CAD: D.Lgs. 7 marzo 2005 №82, Codice dell’Amministrazione Digitale, e successive modificazioni;
  • servizi: i servizi di cui all’art.29 comma 1 del CAD;
  • regolamento eIDAS: Regolamento (UE) №910/2014 del Parlamento Europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;
  • QTSP: prestatore di servizi fiduciari qualificati ai sensi del regolamento eIDAS.

Scopo e ambito di applicazione

Il regolamento eIDAS dispone alcuni obblighi in capo ai QTSP che emettono certificati qualificati per la generazione di firme e sigilli, individua i requisiti per la convalida delle firme elettroniche qualificate (art. 32) e mutatis mutandis, dei sigilli elettronici qualificati (art. 40), come anche i requisiti per la validazione temporale elettronica qualificata (art. 42).

Tali disposizioni individuano dei requisiti minimi che possono risultare non adeguati per la fruizione di servizi in rete offerti nello specifico contesto italiano. Un esempio in tal senso è l’assenza dell’obbligo di indicare nel certificato qualificato per la generazione della firma il codice fiscale del titolare, elemento indispensabile per diverse pubbliche amministrazioni italiane.

Pertanto, il presente provvedimento, emanato ai sensi dell’articolo 71 del CAD, contiene nel paragrafo 3 (Obblighi) alcune previsioni rese obbligatorie in forza o in attuazione del regolamento eIDAS, mentre nel paragrafo 4 (Raccomandazioni) indicazioni volte a garantire maggiormente l’interoperabilità e la fruizione dei servizi in rete nel contesto italiano. Sebbene indicate come “raccomandazioni” devono essere interpretate nel significato previsto nella RFC 2119, pertanto la loro applicazione è fortemente consigliata. È evidente che trattandosi di raccomandazioni e non di obblighi, la loro disapplicazione non possa comportare l’invalidità di firme o sigilli elettronici qualificati. Il paragrafo 5 contiene alcune indicazioni per il processo di convalida di firme e sigilli elettronici.

Le disposizioni contenute nelle presenti regole tecniche che risultino in contrasto con future versioni del regolamento eIDAS o dei regolamenti esecutivi derivanti, devono essere disapplicate.

Obblighi

Articolo 24, paragrafo 2, lettera e del regolamento eIDAS

Nell’ambito dei servizi fiduciari qualificati volti all’emissione di certificati qualificati e ai sistemi di validazione temporale elettronica qualificata, i prestatori di servizi fiduciari qualificati sono liberi di utilizzare le funzioni di hash e gli algoritmi crittografici con lunghezza delle chiavi purché adeguati al fine di ottemperare a quanto prescritto dall’articolo 24, paragrafo 2, lettera e del regolamento eIDAS.

Ai fini dell’articolo 21, paragrafo 2, e dell’articolo 24, paragrafo 2, lettera a del regolamento eIDAS, detti prestatori di servizi devono informare l’Agenzia in merito alla scelta effettuata e di come soddisfi quanto prescritto dall’articolo 24, paragrafo 2, lettera e del regolamento eIDAS.

Articolo 24, paragrafo 2, lettera d del regolamento eIDAS

Ai sensi dell’art. 24, paragrafo 2, lettera d del regolamento eIDAS, i destinatari dei servizi devono essere informati in modo chiaro e completo anche in merito all’applicazione o eventuale disapplicazione delle raccomandazioni di cui al successivo paragrafo 4 e delle possibili conseguenze.

Raccomandazioni

I QTSP che si impegnano a fornire – salvo diversa richiesta degli interessati - i servizi oggetto del presente regolamento applicando le raccomandazioni di cui al paragrafo 4, lo comunicano all’Agenzia, che pubblica tali informazioni sul proprio sito web istituzionale.

Profilo dei certificati qualificati

Per la generazione dei certificati qualificati, sono indicate le seguenti raccomandazioni:

  1. Conformità con quanto stabilito nella specifica RFC 5280 e nelle norme ETSI EN 319-412-1 versione 1.1.1, EN 319-412-2 versione 2.1.1, EN 319-412-3 versione 1.1.1, EN 319-412-4 versione 1.1.1 e EN 319-412-2 versione 2.1.1.
  2. L’estensione KeyUsage è presente e marcata critica. Il solo KeyUsage ammesso per i certificati qualificati di firma elettronica è il “Type A,” come descritto nella citata norma ETSI EN 319-412-2.
  3. Al fine di ottemperare a quanto prescritto negli allegati I (lettera h), III (lettera h) e IV (lettera i) del regolamento eIDAS, è utilizzato l’accessMethod id-ad-caIssuers, con accessLocation uniformResourceIdentifier.
  4. L’estensione authorityKeyIdentifier (ᴏɪᴅ 2.5.29.35) contiene almeno il campo keyIdentifier, non marcata critica.
  5. Il campo SubjectDN (dati identificativi del titolare) è caratterizzato da:
    1. Il serialNumber (ᴏɪᴅ 2.5.4.5) - nei certificati di firma elettronica e autenticazione di siti web rilasciati a persone fisiche - contiene il codice fiscale del titolare indicato con il prefisso TIN, come prescritto dalla norma ETSI EN 319-412-1 (es. TINIT-CCCNNN64T30H501H). Esclusivamente nel caso in cui al titolare non sia stato assegnato un codice fiscale dall’autorità italiana è possibile indicare analogo numero di identificazione fiscale rilasciato da altra autorità dell’Unione utilizzando il prefisso TIN ovvero gli estremi di un documento di riconoscimento utilizzando i prefissi IDC o PAS ovvero un numero di registrazione nazionale utilizzando il prefisso PNO, come prescritto dalla norma EN 319-412-1. Nel caso in cui il titolare sia una persona fisica non dotata di codice fiscale o carta di identità italiana, ma dotata di permesso di soggiorno, si applica quanto previsto dal punto 6 del paragrafo 5.1.3 della norma EN 319-412-1 utilizzando il prefisso RP. Nei casi in cui la legge dello Stato di residenza della persona fisica non consenta l’utilizzo di nessuno dei precedenti codici, si applica quanto previsto dal punto 6 del paragrafo 5.1.3 della norma EN 319-412-1 utilizzando il prefisso NS per identificare lo schema nazionale. In tale evenienza, il pre- statore di servizi fiduciari deve inserire un codice univoco, eventualmente derivato da uno dei predetti.
    2. L’organizationName (ᴏɪᴅ 2.5.4.10) dei certificati di firma elettronica, eventual- mente utilizzato per indicare l’appartenenza o l’affiliazione del titolare all’organiz- zazione e esclusivamente nel caso in cui il prestatore di servizi fiduciari abbia avuto e conservi prova della volontà dell’organizzazione medesima a tale uso e che la stessa si assuma l’obbligo di richiedere la revoca del certificato nel caso in cui il titolare del certificato lasci l’organizzazione. Nel caso in cui l’organizationName sia presente, i medesimi vincoli si applicano anche all’eventuale codifica dell’attributo title. L’attributo title, se presente, contiene il ruolo del titolare in linguaggio naturale e, facoltativamente, una seconda parte costituita da un codice numerico derivato dai codici delle professioni pubblicati da ISTAT. Nel caso in cui sia presente, il codice ISTAT della professione è preceduto dalla stringa :: (esadecimale 0x3A3A, e title=descrizioneInLinguaggioNaturale::codiceNumerico). L’organizationName non è utilizzato nel caso in cui il titolare sia un semplice cliente dell’organizzazione.
    3. Il dnQualifier (ᴏɪᴅ 2.5.4.46) che contiene il codice identificativo del titolare presso il prestatore del servizio. Tale codice è univoco nell’ambito del prestatore del servizio.
    4. La possibilità di inserire nell’attributo description (ᴏɪᴅ 2.5.4.13) il codice EORI (Economic Operator Registration and Identification) di cui al Regolamento (UE) №312/2009 del 16 aprile 2009 e successive modificazioni. In tal caso il codice stesso è preceduto dal testo EORI e dal carattere “:” (esadecimale 0x3A).
  6. Al fine di normalizzare l’uso della sintassi dall’identificatore ‘legal person semantics identifier’ descritto nel paragrafo 5.1.4 della norma ETSI EN 319-412-1, nel caso di organizzazioni non dotate né di partita IVA né di NTR, ma solamente del codice fiscale, è possibile utilizzare la modalità descritta al numero 3 del paragrafo 5.1.4, utilizzando i due caratteri “CF” (esempio: CF:IT-97735020584).
  7. Salvo quanto disposto nelle citate norme ETSI, eventuali ulteriori limiti d’uso sono inseriti nell’attributo explicitText del campo userNotice dell’estensione certificatePolicies. Sul sito istituzionale dell’Agenzia sono pubblicati i testi e le codifiche delle limitazioni d’uso che è auspicabile siano garantite agli utenti.
  8. È fortemente sconsigliato l’utilizzo dei caratteri wildcard come * (esadecimale 0x2A) in tutti i nomi di dominio nei certificati qualificati di autenticazione di siti web.
  9. Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.

Profilo dei certificati di certificazione e validazione temporale

  1. Il profilo dei certificati di certificazione è conforme alla specifica RFC 5280.
  2. Il profilo dei certificati di marcatura temporale è conforme alla norma ETSI EN 319-422 versione 1.1.1.
  3. Per la codifica dei certificati deve essere utilizzato il formato ASN.1 – DER (ISO/IEC 8824, 8825) in rappresentazione binaria o alfanumerica, ottenuta applicando la trasformazione Base64 (RFC 1421 e successive modifiche); l’intestazione e la coda previsti in RFC 1421 possono essere assenti. Nel primo caso il file contenente il certificato deve assumere l’estensione cer o der, nel secondo caso b64.
  4. I certificati di certificazione contengono le seguenti estensioni:
    1. keyUsage (ᴏɪᴅ 2.5.29.15) — contenente i valori keyCertSign e CRLSign (bit #5 e #6 impostati a 1); l’estensione è marcata critica;
    2. basicConstraints (ᴏɪᴅ 2.5.29.19) — contenente il valore CA=true; l’estensione è marcata critica;
    3. certificatePolicies (ᴏɪᴅ 2.5.29.32) — contenente uno o più identificativi delle PolicyIdentifier:code e le URL dei relativi CPS. Può contenere l’OID geerico previsto dall’\ :RFC:`5280 (2.5.29.32.0)); l’estensione non è marcata critica;
    4. subjectKeyIdentifier (ᴏɪᴅ 2.5.29.14) — contenente il valore keyIdentifier per identificare il certificato l’estensione non è marcata critica;
    5. Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.
  5. I certificati di marcatura temporale contengono le seguenti estensioni:
    1. keyUsage (ᴏɪᴅ 2.5.29.15) — contenente il valore digitalSignature (bit #0 impostato a 1); l’estensione è marcata critica;
    2. extendedKeyUsage (ᴏɪᴅ 2.5.29.37) — contenente esclusivamente il campo keyPurposeId impostato su timeStamping; l’estensione è marcata critica;
    3. certificatePolicies (ᴏɪᴅ 2.5.29.32) — contenente uno o più identificativi delle PolicyIdentifier e le URL del relativo CPS; l’estensione non è marcata critica;
    4. authorityKeyIdentifier (ᴏɪᴅ 2.5.29.35) — contenente almeno il valore keyIdentifier corrispondente al :code:`subjectKeyIdentifier: del certificato di certificazione utilizzato per sottoscrivere il certificato di marcatura temporale; l’estensione non è marcata critica;
    5. subjectKeyIdentifier (ᴏɪᴅ 2.5.29.14) — contenente il valore keyIdentifier per identificare il certificato; l’estensione non è marcata critica;
    6. Ulteriori estensioni possono essere inserite nel certificato purché conformi agli standard citati nel presente provvedimento e non marcate critiche.

Formati di firme e sigilli elettronici qualificati

Nella realizzazione di servizi e applicazioni per la generazione di firme e sigilli elettronici qualificati, i prestatori di servizi fiduciari qualificati si attengono alle disposizioni emanate con la Decisione di Esecuzione (UE) № 1506/2015 dell’8 settembre 2015 e successive modificazioni.

Informazioni sullo stato dei certificati qualificati di firma e sigillo

Le informazioni afferenti lo stato del certificato preferibilmente sono rese disponibili attraverso il servizio OCSP ed eventualmente anche tramite liste di revoca (CRL). A tal fine i certificati qualificati contengono l’estensione authorityInfoAccess (ᴏɪᴅ 1.3.6.1.5.5.7.1.1) contenente il campo accessDescription con l’attributo accessMethod, che contiene l’identificativo id-ad-ocsp (ᴏɪᴅ 1.3.6.1.5.5.7.48.1) e l’attributo accessLocation, che contiene l’URI che punta all’OCSP Responder e, eventualmente, l’estensione CRLDistributionPoints (ᴏɪᴅ 2.5.29.31). Le estensioni non sono marcate critiche.

Le CRL contengono l’estensione ExpiredCertsOnCRL (ᴏɪᴅ 2.5.29.60), prevista dallo standard X.509.

Le informazioni sulla revoca e sospensione dei certificati sono liberamente accessibili in rete.

Convalida di firme e sigilli elettronici qualificati

  1. Il processo di convalida di una firma elettronica qualificata o di un sigillo elettronico qualificato conferma la validità delle stesse purché siano verificate le condizioni di cui all’articolo 32 del regolamento eIDAS e siano generate conformemente a quanto stabilito negli atti di esecuzione emanati dalla Commissione Europea ai sensi del paragrafo 5 degli articoli 27 o 37 del regolamento eIDAS.
  2. Si raccomanda che il processo di convalida della validazione temporale sia in grado di effettuare la verifica delle marche detached e dei formati RFC 5544.

Norme transitorie e abrogazioni

  1. Salvo quanto disposto al successivo comma 2, la Deliberazione CNIPA №45 del 21 maggio 2009 è abrogata e sostituita dal presente regolamento.
  2. Le presenti regole tecniche sono adottate dai prestatori di servizi fiduciari entro 30 giorni dalla data di pubblicazione della notizia della loro emanazione sulla Gazzetta Ufficiale della Repubblica Italiana.
  3. Fino all’adozione delle presenti regole tecniche nei termini stabiliti dal precedente comma 2, i prestatori di servizi fiduciari qualificati continuano ad applicare le regole tecniche di cui alla Deliberazione №45/2009.
  4. Le presenti regole tecniche non producono alcun effetto sui certificati emessi prima della loro adozione.