e-Güven Sertifika Uygulama Hükümleri - E

Transkript

e-Güven
Sertifika Uygulama
Hükümleri
Sürüm 1.0
Yürürlük Tarihi: Mayıs, 2004
Elektronik Bilgi Güvenliği Anonim Şirketi
Vali Konağı cad. no:147/14 34365
Nişantaşı / İstanbul
Türkiye
Tel: 212-296 81 46
Fax: 212-296 81 48
www.e-guven.com
e-Güven Sertifika Uygulama Hükümleri
© 2004 Elektronik Bilgi Güvenliği A.Ş. Her hakkı saklıdır.
Revizyon tarihi: Mayıs 2004
Açıklamalar ve Uyarılar
VeriSign ve Managed PKI, VeriSign, Inc.’in tescilli markalarıdır. VeriSign logosu,
VeriSign Trust Network ve Go Secure!, VeriSign, Inc.’in ticari markaları, hizmet
markaları ve servis işaretleridir. Bu dokümanda kullanılan diğer ticari markalar,
hizmet markaları ve servis işaretleri ise Elektronik Bilgi Güvenliği A.Ş. veya
Siemens Business Services Servis Hizmetleri A.Ş. (SBS) veya ilgili tarafların
mülkiyetindedir.
Yukarıda belirtilen haklar saklı kalmak kaydıyla ve aşağıda özel olarak aksine izin
verilen durumlar hariç olmak üzere, bu yayının hiçbir parçası, önceden Elektronik
Bilgi Güvenliği A.Ş.’nin izni alınmadan herhangi bir formda veya herhangi bir
araçla (elektronik, mekanik, fotokopi, kayıt veya başka araçlar) çoğaltılamaz,
aktarılamaz ya da bir veri okuma sistemine kaydedilemez veya işlenemez.
Bununla birlikte, (i) yukarıdaki telif hakkı uyarısının ve giriş paragraflarının her bir
nüshanın başında açıkça gösterilmesi ve (ii) bu dokümanın, Elektronik Bilgi
Güvenliği A.Ş.’ye atıf yapılarak, bir bütün halinde ve hatasız kopyalanması
şartıyla, bu eserin ücreti ödenmeden çoğaltılmasına ve dağıtılmasına izin
verilebilir.
Bununla birlikte çoğaltma ve dağıtım izni herhangi bir kişiye
münhasıran verilmez.
İşbu Sertifika Uygulama Hükümleri (SUH) ile ilgili yorum ve uyuşmazlıklar
öncelikle e-Güven ile uyuşmazlığın karşı tarafı veya dokumanla ilgili olan kişi
arasında akdedilen işbu SUH’a atıfta bulunan sözleşme; yorumlamaya konu olan
olayın meydana geldiği ve uyuşmazlıkların ortaya çıktığı zaman yürürlülükte olan
SUH’un hükümleri çerçevesinde değerlendirilecektir. İşbu SUH’da geçen terimler,
değerlendirmeler ve açıklamalar 5070 Sayılı “Elektronik İmza Kanunu”nun
kapsamı dışındadır. İşbu SUH’la ilgili uyuşmazlıklarda ve yorumlamalarda “5070
Sayılı Elektronik İmza Kanunu” hükümleri ve bu kanunla ilgili mevzuat
uygulanmayacaktır.
İşbu SUH içersinde Elektronik Bilgi Güvenliği web sitesinden erişilebileceği veya
e-guven.com uzantılı elektronik posta adresinden bildirimde bulunulabileceği
belirtilen iletişim adresi, bilgi, belge ve dokümanlara, ilgili siteyle ilgili alt yapı,
hazırlık ve kurulum çalışmaları devam ettiğinden dolayı erişilememekte veya
iletişim kurulamamaktadır. İşbu SUH içersinde Elektronik Bilgi Güvenliği’nin
http://www.e-guven.com alan adından yayın yapacak olan web sitesiyle ilgili
gerekli hazırlıklar tamamlandığında ve web üzerinden ilgili bilgi, belge ve
dokümanların yayınına başlandığında ilgili taraflara SUH’da belirtilen linkler
vasıtasıyla belirtilen bilgi, belge ve dokümanlara erişebilecekleri ve e-guven.com
uzantılı elektronik posta adresinden iletişimde bulunulabilecekleri bildirilecektir.
İşbu e-Güven Sertifika Uygulama Hükümleri ile ilgili çoğaltılma izinleri (ve yanı
sıra e-Güven’den kopyalarının temini) için talepler “Elektronik Bilgi Güvenliği
A.Ş., Vali Konağı Cad. No:147/14 34365 Nişantaşı / İstanbul- Türkiye, Dikkatine:
Uygulama Geliştirme” adresine yapılmalıdır. Tel: +90 212 296 81 46 Faks: +90
212 296 81 48 Elektronik Posta: [email protected]
Teşekkür
Elektronik Bilgi Güvenliği A.Ş., dokümanın incelenmesinde görev alan ve hukuk,
politika ve teknoloji gibi çok çeşitli alanlarda uzman olan çok sayıda kişiye
katkılarından dolayı teşekkür eder.
- ii -
İÇİNDEKİLER
1. Giriş
1
1.1
Genel ............................................................................................................................... 2
1.1.1
Politika Hakkında Genel Bilgi ................................................................................ 5
1.1.2
VeriSign’ın VTN Servisleri Sunumu...................................................................... 8
1.1.2.1 Sertifika Dağıtım Servisleri ................................................................................ 8
1.1.2.1.1 e-Güven’in Sunduğu VeriSign Managed PKI® ............................................ 8
1.1.2.1.2 VeriSign Küresel Ortak Programı............................................................... 10
1.1.2.1.3 Web Host Programı..................................................................................... 10
1.1.2.2 Katma Değerli Sertifikalandırma Hizmetleri.................................................... 10
1.1.2.2.1 Kimlik Kontrolü Servisleri ......................................................................... 10
1.1.2.2.2 e-Güven’in Sunduğu VeriSign Dijital Onay Servisi................................... 11
1.1.2.3 Özel Sertifika Tipleri ........................................................................................ 12
1.1.2.3.1 e-Güven’in Sunduğu VeriSign Managed PKI Key Manager Servisleri ..... 12
1.1.2.3.2 e-Güven’in Sunduğu VeriSign Roaming Servisi........................................ 12
1.2
Tanımlama .................................................................................................................... 13
1.3
Kullanıcı Grubu ve Kullanılabilirlik............................................................................. 13
1.3.1
Sertifika Otoriteleri ............................................................................................... 13
1.3.2
Kayıt Otoriteleri .................................................................................................... 14
1.3.3
Son Kullanıcılar .................................................................................................... 14
1.3.4
Geçerlilik............................................................................................................... 15
1.3.4.1 Uygun Başvurular ............................................................................................. 16
1.3.4.2 Sınırlı Başvurular .............................................................................................. 16
1.3.4.3 Yasaklanmış Başvurular ................................................................................... 17
1.4
İrtibat Detayları............................................................................................................. 17
1.4.1
SUH’le ilgili Yetkili Kurum ................................................................................ 17
1.4.2
İrtibat Görevlisi..................................................................................................... 17
1.4.3
SUH’un Politikaya Uygunluğunu Belirleyen Kişi................................................ 18
2. Genel Hükümler
18
2.1
Sorumluluklar ............................................................................................................... 18
2.1.1
SO’nun Sorumlulukları......................................................................................... 18
2.1.2
KO’nun Sorumlulukları ........................................................................................ 19
2.1.3
Abone Sorumlulukları........................................................................................... 19
2.1.4
İtimat Eden Tarafın Sorumlulukları...................................................................... 20
2.1.5
Veri Depolama Sorumlulukları............................................................................. 21
2.2
Sorumluluk.................................................................................................................... 21
2.2.1
Sertifika Otoritesinin Sorumlulukları ................................................................... 21
2.2.1.1 Aboneler ve İtimat Eden Taraflar için Sertifika Otoritesi Garantileri .............. 22
2.2.1.2 Sertifika Otoritesi Sorumsuzluk Kaydı............................................................. 22
2.2.1.3 Sertifika Otoritesinin Sorumluluğunun Sınırlandırılması................................. 22
2.2.1.4 Mücbir Sebep .................................................................................................... 23
2.2.2
Kayıt Otoritesinin Sorumluluğu............................................................................ 23
2.2.3
Abonenin Sorumluluğu......................................................................................... 23
2.2.3.1 Abonenin Vereceği Garantiler .......................................................................... 23
2.2.3.2 Kapalı Anahtarın Korunması ............................................................................ 24
- iii -
2.2.4
İtimat Eden Tarafların Sorumluluğu..................................................................... 24
2.3
Mali Sorumluluk ........................................................................................................... 24
2.3.1
Abonelerin ve İtimat Eden Tarafların Ödeyecekleri Tazminat............................. 24
2.3.1.1 Abonelerin Ödeyecekleri Tazminat .................................................................. 24
2.3.1.2 İtimat Eden Tarafların Ödeyecekleri Tazminat ................................................ 25
2.3.2
Güvene Dayalı İlişki ............................................................................................. 25
2.3.3
İdari Süreçler......................................................................................................... 25
2.4
Yorumlama ve Uygulama Kanunları ............................................................................ 26
2.4.1
Uygulanacak Hukuk.............................................................................................. 26
2.4.2
Bölünebilirlik, Post – Contractus Hükümler, , Bütünlük, İhbar ........................... 26
2.4.3
Uyuşmazlıkların Çözüm Yolları ........................................................................... 26
2.4.3.1 e-Güven ile Müşteriler Arasındaki İhtilaflar..................................................... 26
2.4.3.2 Son Kullanıcı Abonelerle ve İtimat Eden Taraflar Arasındaki İhtilaflar.......... 26
2.5
Ücretler ......................................................................................................................... 27
2.5.1
Sertifika Düzenleme veya Yenileme Ücretleri ..................................................... 27
2.5.2
Sertifika Erişim Ücretleri...................................................................................... 27
2.5.3
İptal veya Durum Bilgisi Erişim Ücretleri............................................................ 27
2.5.4
Politika Bilgisi Gibi Diğer Servislerin Ücretleri................................................... 27
2.5.5
Geri Ödeme Politikası........................................................................................... 27
2.6
Yayınlama ve Veri Depolama....................................................................................... 28
2.6.1
SO Bilgisinin Yayınlanması ................................................................................. 28
2.6.2
Yayınlama Sıklığı ................................................................................................. 29
2.6.3
Erişim Kontrolleri ................................................................................................. 29
2.6.4
Veri Bankaları (Tabanları).................................................................................... 29
2.7
Uygunluk Denetimi....................................................................................................... 29
2.7.1
Kuruluş Uygunluk Denetiminin Sıklığı ................................................................ 30
2.7.2
Denetçinin Kimliği/Nitelikleri .............................................................................. 30
2.7.3
Denetçinin Denetlenen Tarafla İlişkisi ................................................................. 30
2.7.4
Denetim Kapsamındaki Konular........................................................................... 31
2.7.5
Bir Eksiklik İçin Alınan Önlemler........................................................................ 31
2.7.6
Sonuçların İletilmesi ............................................................................................. 31
2.8
Gizlilik ve Özel Bilgi .................................................................................................... 31
2.8.1
Gizli ve Özel Bilgi Kapsamında Tutulacak Bilgi Çeşitleri................................... 31
2.8.2
Gizli veya Özel Bilgi Kabul Edilmeyen Bilgi Çeşitleri........................................ 32
2.8.3
Sertifika İptal/Askıya Alma Bilgisinin İfşa Edilmesi ........................................... 32
2.8.4
Bilgilerin Resmi Makamlara Açıklanması............................................................ 32
2.8.5
Bilgilerin Hukuk Davaları Sırasında Yapılan İstemler Üzerine Açıklanması ...... 32
2.8.6
Bilgi Sahibinin Talebi Üzerine Açıklama............................................................. 32
2.8.7
Diğer Bilgi Açıklama Koşulları ............................................................................ 32
2.9
Fikri Mülkiyet Hakları .................................................................................................. 32
2.9.1
Sertifikalar ve İptal Bilgisinin Mülkiyet Hakları .................................................. 32
2.9.2
SP’nin ve SUH’un Mülkiyet Hakları.................................................................... 33
2.9.3
İsim ve Marka Üzerindeki Hakları ....................................................................... 33
2.9.4
Anahtarların ve Anahtar Malzemesinin Mülkiyet Hakları ................................... 33
3. Tanımlama ve Kimlik Kontrolü
3.1
33
İlk Kayıt ........................................................................................................................ 33
- iv -
3.1.1
İsim Tipleri............................................................................................................ 33
3.1.2
İsimlerin Anlamlı Olması Gereksinimi................................................................. 35
3.1.3
Çeşitli İsim Formlarının Yorumlanmasına Dair Kurallar..................................... 35
3.1.4
İsimlerin Tek Olması ............................................................................................ 35
3.1.5
İsim İhtilaflarını Çözme Prosedürü....................................................................... 36
3.1.6
Ticari Markaların Tanınması, Onaylanması ve İşlevi........................................... 36
3.1.7
Kapalı Anahtara Sahip Olunduğunu Kanıtlama Yöntemi .................................... 36
3.1.8
Kurumun Kimliğinin Kontrolü ............................................................................. 36
3.1.8.1 Kurumsal Son Kullanıcı Abonelerin Kimlik Kontrolü..................................... 36
3.1.8.1.1 Perakende Kurumsal Sertifikalar için Kimlik Kontrolü ............................. 36
3.1.8.1.2 SSL için Managed PKI Müşterileri veya SSL Premium Edition için
Managed PKI Müşterileri için Kimlik Kontrolü........................................................... 37
3.1.8.1.3 Sınıf 3 Kurumsal ASB Sertifikaları için Kimlik Kontrolü ......................... 37
3.1.8.2 SO’ların ve KO’ların Kimlik Kontrolü............................................................. 38
3.1.9
Bireysel Kimliğin Kontrolü .................................................................................. 38
3.1.9.1 Sınıf 1 Bireysel Sertifikalar .............................................................................. 39
3.1.9.2.1 Sınıf 2 Managed PKI Sertifikaları .............................................................. 39
3.1.9.2.2 Sınıf 2 Perakende Sertifikalar ..................................................................... 40
3.1.9.3.1 Sınıf 3 Bireysel Sertifikalar ........................................................................ 40
3.1.9.3.2 Sınıf 3 İdareci Sertifikaları.......................................................................... 40
3.2
Rutin Anahtarlama ve Yenileme................................................................................... 41
3.2.1
Son Kullanıcı Abone Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme
42
3.2.2
SO Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme........................... 43
3.3
İptal Sonrasında Yeniden Anahtarlama ........................................................................ 43
3.4
İptal Talebi .................................................................................................................... 44
4. Operasyon Şartları
45
4.1
Sertifika Başvurusu....................................................................................................... 45
4.1.1
Son Kullanıcı Abone Sertifikaları için Sertifika Başvuruları ............................... 45
4.1.2
SO, KO, Altyapı ve Personel Sertifikaları için Sertifika Başvuruları................... 46
4.1.2.1 KO Sertifikaları................................................................................................. 46
4.1.2.2 KO Sertifikaları................................................................................................. 46
4.1.2.3 Altyapı Sertifikaları .......................................................................................... 47
4.1.2.4 VeriSign Personel Sertifikaları ......................................................................... 47
4.2
Sertifika Düzenleme...................................................................................................... 47
4.2.1
Son Kullanıcı Abone Sertifikaları Düzenleme ..................................................... 47
4.2.2
SO, KO ve Altyapı Sertifikaları Düzenleme......................................................... 47
4.3
Sertifika Kabulü ............................................................................................................ 48
4.4
Sertifikayı Askıya Alma veya İptal Etme ..................................................................... 48
4.4.1
İptal Koşulları ....................................................................................................... 48
4.4.1.1 Son Kullanıcı Abone Sertifikaları için İptal Koşulları ..................................... 48
4.4.1.2 SO, KO veya Altyapı Sertifikaları için İptal Koşulları..................................... 49
4.4.2
Kimler İptal Talebinde Bulunabilir....................................................................... 49
4.4.2.1 Kimler Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Edebilir ........... 49
- v -
4.4.2.2 Kimler Bir SO, KO veya Altyapı Sertifikasının İptalini Talep Edebilir........... 50
4.4.3
İptal Talebi Prosedürü........................................................................................... 50
4.4.3.1 Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Etme Prosedürü........... 50
4.4.3.2 Bir SO veya KO Sertifikasının İptalini Talep Etme Prosedürü ........................ 50
4.4.4
İptal Talebi Süresi ................................................................................................. 50
4.4.5
Askıya Alma Koşulları ......................................................................................... 50
4.4.6
Kimler Askıya Alma Talebinde Bulunabilir......................................................... 50
4.4.7
Askıya Alma Talebi Prosedürü............................................................................. 51
4.4.8
Askıya Alma Süresi Limitleri ............................................................................... 51
4.4.9
CRL Yayınlama Sıklığı......................................................................................... 51
4.4.10
Sertifika İptal Listesi Kontrol Şartları................................................................... 51
4.4.11
Çevrim İçi İptal/Durum Kontrolü Bilgisi Alma.................................................... 51
4.4.12
Çevrim İçi İptal Kontrolü Şartları......................................................................... 52
4.4.13
Mevcut Diğer İptal Duyuru Formları.................................................................... 52
4.4.14
Diğer İptal Duyuruları için Kontrol Şartları ......................................................... 52
4.4.15
Anahtar Tehditleriyle İlgili Özel Şartlar ............................................................... 52
4.5
Güvenlik Denetimi Prosedürleri ................................................................................... 52
4.5.1
Kaydedilen Olay Tipleri ....................................................................................... 52
4.5.2
Kayıt İşleme Sıklığı .............................................................................................. 53
4.5.3
Denetim Kaydı Saklama Süresi ............................................................................ 53
4.5.4
Denetim Kaydının Korunması .............................................................................. 53
4.5.5
Denetim Kaydı Yedekleme Prosedürleri .............................................................. 53
4.5.6
Denetim Bilgisi Toplama Sistemi......................................................................... 54
4.5.7
Olaya Sebep Olan Sertifika Konusuna İhbarda Bulunma..................................... 54
4.5.8
Güvenlik Açıklarının Değerlendirilmesi............................................................... 54
4.6
Kayıtların Arşivlenmesi ................................................................................................ 54
4.6.1
Kaydedilen Olay Tipleri ....................................................................................... 54
4.6.2
Arşiv Saklama Periyodu ....................................................................................... 55
4.6.3
Arşivin Korunması................................................................................................ 55
4.6.4
Arşiv Yedekleme Prosedürleri.............................................................................. 55
4.6.5
Kayıtlara Zaman Damgası Basma Şartları............................................................ 55
4.6.6
Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri............................................. 55
4.7
Anahtar Değiştirme....................................................................................................... 55
4.8
SO’nun Operasyonunun Durdurulması......................................................................... 56
5. Fiziksel, Prosedür ve Personel Güvenlik Kontrolleri
56
5.1
Fiziksel Kontroller ........................................................................................................ 57
5.1.1
Tesisin Yeri ve Yapısı........................................................................................... 57
5.1.2
Fiziksel Erişim ...................................................................................................... 57
5.1.3
Elektrik ve Klima Sistemleri................................................................................. 58
5.1.4
Su Etkisi ................................................................................................................ 58
5.1.5
Yangın Önleme ve Yangına Karşı Korunma ........................................................ 58
5.1.6
Araçların Saklanması ............................................................................................ 58
5.1.7
Atık Atma.............................................................................................................. 59
5.1.8
Tesis Dışı Yedekleme ........................................................................................... 59
5.2
Prosedür Kontrolleri...................................................................................................... 59
5.2.1
Güvenilen Şahıslar ................................................................................................ 59
- vi -
5.2.2
Her Bir Görev için Gereken Kişi Sayısı ............................................................... 60
5.2.3
Her Bir Görev için Tanımlama ve Kimlik Kontrolü............................................. 60
5.3
Personel Kontrolleri ...................................................................................................... 60
5.3.1
Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları ........... 60
5.3.2
Mesleki Bilgi Kontrol Prosedürleri....................................................................... 61
5.3.3
Eğitim Şartları....................................................................................................... 61
5.3.4
Eğitim Sıklığı ve Şartları ...................................................................................... 62
5.3.5
İş Rotasyon Sıklığı ve Sırası ................................................................................. 62
5.3.6
Yetkisiz Eylemlere Karşı Yaptırımlar .................................................................. 62
5.3.7
Sözleşmeli Personel Şartları ................................................................................. 62
5.3.8
Personele Verilen Dokümanlar ............................................................................. 62
6. Teknik Güvenlik Kontrolleri
62
6.1
Anahtar Çifti Yaratma ve Kurma.................................................................................. 62
6.1.1
Anahtar Çifti Yaratma........................................................................................... 62
6.1.2
Kuruluşa Özel Anahtar Verilmesi......................................................................... 63
6.1.3
Sertifika Düzenleyiciye Açık Anahtar Verilmesi ................................................ 63
6.1.4
Kullanıcılara SO Açık Anahtarının Verilmesi...................................................... 64
6.1.5
Anahtarların Büyüklüğü........................................................................................ 64
6.1.6
Genel Kod Parametrelerinin Yaratılması.............................................................. 64
6.1.7
Parametre Kalitesi Kontrolü ................................................................................. 64
6.1.8
Donanım/Yazılım aNAHTARI Yaratılması ......................................................... 64
6.1.9
Anahtar Kullanımının Amaçları ........................................................................... 64
6.1.10
Şifreleme Modülleri için Standartlar .................................................................... 65
6.1.11
Kapalı Anahtarın (m/n) Birden Fazla Şahısça Kontrolü....................................... 65
6.1.12
Kapalı Anahtarın Geçici Olarak Üçüncü Şahıslara Verilmesi.............................. 66
6.1.13
Kapalı Aanahtarın Yedeklenmesi ......................................................................... 67
6.1.14
Kapalı Anahtarların Arşivlenmesi ........................................................................ 67
6.1.15
Kapalı Anahtarların Şifreleme Modülüne Girilmesi............................................. 67
6.1.16
Kapalı Anahtarları Etkinleştirme Yöntemleri....................................................... 67
6.1.16.1
Son Kullanıcı Abone Kapalı Anahtarları...................................................... 67
6.1.16.1.1 Sınıf 1 Sertifikalar..................................................................................... 68
6.1.16.1.2 Sınıf 2 Sertifikalar..................................................................................... 68
6.1.16.1.3 İdareci Sertifikaları Haricindeki Sınıf 3 Sertifikalar................................. 68
6.1.16.2
İdarecilerin Kapalı anahtarları ...................................................................... 69
6.1.16.2.1 İdareciler ................................................................................................... 69
6.1.16.2.2 Bir Şifreleme Modülü (Otomatik Yönetimli veya Managed PKI Key
Manager Servisli) kullanan Managed PKI İdarecileri .................................................. 69
6.1.16.3
e-Güven’in Kapalı anahtarları...................................................................... 69
6.1.17
Kapalı Anahtarın Etkinliğini Kaldırma Yöntemi.................................................. 70
6.1.18
Kapalı Anahtar İmha Yöntemi.............................................................................. 70
6.2
Anahtar Çifti Yönetiminin Diğer Yönleri.................................................................... 70
6.2.1
Açık Anahtarın Arşivlenmesi .............................................................................. 70
6.2.2
Açık ve Kapalı Anahtarların Kullanım Süreleri ................................................... 70
6.3
Aktivasyon Verileri....................................................................................................... 72
6.3.1
Aktivasyon Verilerinin Yaratılması ve Kurulması ............................................... 72
6.3.2
Aktivasyon Verilerinin Korunması....................................................................... 72
- vii -
6.3.3
Aktivasyon Verilerinin Diğer Yönleri .................................................................. 73
6.4
Bilgisayar Güvenlik Kontrolleri ................................................................................... 73
6.4.1
Özel Bilgisayar Güvenliği Teknik Şartları ........................................................... 73
6.5
Geçerlilik Süresi İçindeki Teknik Kontroller ............................................................... 73
6.5.1
Sistem Geliştirme Kontrolleri ............................................................................... 73
6.5.2
Güvenlik Yönetim Kontrolleri.............................................................................. 74
6.5.3
Geçerlilik Süresi İçindeki Güvenlik Derecelendirmeleri...................................... 74
6.6
Ağ Güvenlik Kontrolleri ............................................................................................... 74
6.7
Şifreleme Modülü Mühendislik Kontrolleri ................................................................. 74
7. Sertifika ve SİL (CRL) Profili
74
7.1
Sertifika Profili.............................................................................................................. 74
7.1.1
Versiyon Numarası/Numaraları ............................................................................ 75
7.1.2
Sertifika Ekleri ...................................................................................................... 75
7.1.2.1 Kod Kullanımı .................................................................................................. 75
7.1.2.2 Sertifika Politikaları Eki ................................................................................... 75
7.1.2.3 Sertifika Konusu Alternatif İsimleri ................................................................. 75
7.1.2.4 Temel Sınırlamalar............................................................................................ 76
7.1.2.5 Uzatılmış Anahtar Kullanımı (Extended Key Usage) ...................................... 76
7.1.2.6 SİL Dağıtım Noktaları ...................................................................................... 77
7.1.2.7 Otorite Anahtarı Tanımlayıcı ( Authority Key İdentifier) ................................ 77
7.1.2.8 Sertifika Süjesi Anahtarı Tanımlayıcı (Algorithm Object Identifier)............... 77
7.1.3
Algoritma Nesnesi Tanımlayıcıları....................................................................... 77
7.1.4
İsim Formları ........................................................................................................ 78
7.1.5
İsim Sınırlamaları.................................................................................................. 78
7.1.6
Sertifika Politikası Nesnesi Tanımlayıcı............................................................... 78
7.1.7
Politika Sınırlamaları Ekinin Kullanımı ............................................................... 78
7.1.8
Politika Niteleyiciler için Yazımsal ve Anlamsal Özellikler................................ 78
7.1.9
Kritik Sertifika Politika Eki için Anlamsal İşlem Özellikleri............................... 78
7.2
SİL Profili ..................................................................................................................... 78
7.2.1
Versiyon Numarası/Numaraları ............................................................................ 79
7.2.2
SİL ve SİL Girdi Ekleri......................................................................................... 79
8. Spesifikasyon Yönetimi
79
8.1
Spesifikasyon Değişikliği Prosedürleri......................................................................... 79
8.1.1
İhbarda Bulunulmadan Değiştirilebilecek Maddeler ............................................ 79
8.1.2
İhbarda Bulunarak Değiştirilebilecek Maddeler................................................... 79
8.1.2.1 Maddelerin Listesi ............................................................................................ 80
8.1.2.2 İhbar Mekanizması............................................................................................ 80
8.1.2.3 Açıklama Süresi ................................................................................................ 80
8.1.2.4 Açıklama İşleme Mekanizması......................................................................... 80
8.1.3
Sertifika Politikası OID veya SUH İşaretinde Değişiklik Gerektiren Değişiklikler
80
8.2
Yayın ve İhbar Politikaları............................................................................................ 81
8.2.1
SUH’da Yayınlanmayan Maddeler....................................................................... 81
8.2.2
SP’nin Dağıtımı .................................................................................................... 81
8.3
SUH Onay Prosedürleri ................................................................................................ 81
Kısaltmalar ve Tanımlar
81
- viii -
Kısaltmalar Tablosu .................................................................................................................. 81
Tanımlar.................................................................................................................................... 82
- ix -
1. Giriş
Bu doküman e-Güven Sertifika Uygulama Hükümleridir (“SUH”) ve Not: Bu SUH’da baş
VeriSign’ın
Sertifika Uygulama Hükümleri temel alınarak harfleri büyük yazılan
terimler, özel anlamları
hazırlanmıştır (Bkz. https://www.verisign.com/cps).1 Bu doküman, olan, tanımı yapılmış
e-Güven’e bağlı olan sertifika otoritelerinin (“SO’lar”), sertifikaların, terimlerdir. Tanımların
VeriSign Trust Network Sertifika Politikalarına (“SP”)
göre listesini Bölüm 9’da
düzenlenmesi, yönetilmesi, iptal edilmesi ve yenilenmesi de dahil bulabilirsiniz.
olmak ve fakat bunlarla sınırlı olmamak üzere sertifikalandırma
hizmetlerinin sunumunda kullandığı uygulamaları açıklar. VeriSign, Inc. (“VeriSign”), web
siteleri, ticari kuruluşlar, kurumlar, elektronik ticaret servis sağlayıcıları ve bireyler için önde
gelen güvenilen altyapı hizmetleri sağlayıcısıdır. Tanımlanan alt yapı hizmetleri, şirketin alan
adı, dijital sertifikası ve ödeme hizmetleri, güvenli e-ticaret ve haberleşme hizmetlerini yürütmek
için çevrim içi faaliyetlerin gerektirdiği kritik web kimliği, kimlik kontrolü ve işlem altyapısını
temin eder.
SP, hem kablolu, hem de kablosuz uygulamalar için dijital sertifikalar (“Sertifikalar”) sağlayan
küresel açık anahtar altyapısı olan VeriSign Trust NetworkSM (“VTN”)’yi tarif eder. VTN,
haberleşme ve bilgi güvenliğinde farklı ihtiyaçları bulunan büyük, herkese açık ve geniş dağılım
gösteren bir kullanıcı grubu içerir. VeriSign, tüm dünyada, Elektronik Bilgi Güvenliği A.Ş.’nin
de dahil olduğu (“e-Güven”) ve küresel işbirliği yaptığı ortakların (“Küresel Ortaklar”)
oluşturduğu ağ ile birlikte VTN içinde yer alan servis sağlayıcılardan biridir.
SP, VTN’yi düzenleyen politikanın ana ilkesidir. SP, VTN içinde dijital sertifikaların
onaylanması, düzenlenmesi, yönetilmesi, kullanılması, iptal edilmesi, yenilenmesi ve tüm
bunların yanı sıra ilgili güvenli servislerinin sağlanması için ticari, hukuki ve teknik şartları
belirler. “VTN Standartları” olarak adlandırılan bu şartlar VTN’nin güvenliğini ve bütünlüğünü
korur, bütün VTN katılımcılarına uygulanır ve dolayısıyla tüm VTN’de eşdüzeyde güveni
garanti eder. SP’de, VTN ve VTN Standartlarıyla ilgili ayrıntılı bilgi bulunabilir.2
VeriSign ve her bir “Küresel Ortak”, VTN’nin bir kısmı üzerinde yetkilidir. VTN’nin VeriSign
veya e-Güven tarafından kontrol edilen kısmına VTN’nin “Altalanı” denir. Bir “Küresel
Ortağın” altalanı, kendi kontrolündeki VTN bölümüdür. e-Güven’in VTN içindeki alt alanı,
Müşteriler, Kurumsal SO’lar, Kayıt Otoriteleri, Sertifika Kullanıcıları, ve İtimat Eden Taraflar
gibi sujelerdir.
e-Güven, VeriSign ve her bir “Küresel Ortak”, , VTN içindeki kendi Altalanını düzenleyen bir
SUH’a sahiptir. SP, VTN katılımcılarının uyması gereken şartları belirtmekle birlikte, bu SUH,
1
SUH bölümlerine dahili çapraz başvurular (yani, “SUH§” formunda) bu dokümanın bölümlerine yapılan atıflardır.
“SUH” terimine yapılan diğer atıflar, bu dokümanı veya VTN Bağlıları gibi başka şahısların SUH’lerini içerebilecek
bir sertifikalandırma uygulaması açıklamasına atıflardır. Bkz. SUH § 9 (Tanımlar).
2
CP, https://www.verisign.com/CP sitesindeki VeriSign Veri Bankasında elektronik formda yayınlanır. VeriSign,
ayrıca, [email protected]’a gönderilen talep üzerine SP’yi Adobe Acrobat pdf veya Word formatında
kullanıma sunar. SP, aşağıdaki adrese talepte bulunularak VeriSign Trust Network Politika Yönetimi Otoritesinden
(“PMA”) basılı formda temin edilebilir: VeriSign, Inc., 487 East Middlefield Road, Mountain View, CA 94043
USA, Attn: Practices Development – CP.
- 1 -
VTN’nin e-Güven Altalanında (Türkiye’de), bu şartları nasıl karşıladığını tarif eder. Daha açık
bir ifade ile , bu SUH, VTN’nin e-Güven alt alanında aşağıdaki faaliyetler için SP ve onun VTN
Standartlarının şartlarına uygun olarak yaptığı uygulamaları açıklar3:
•
•
1.1
VTN’yi destekleyen ana altyapının güvenli yönetimi.
VTN Sertifikalarının düzenlenmesi, yönetilmesi, iptali ve yenilenmesi.
Genel
Bu SUH özellikle aşağıdakiler için geçerlidir:
•
•
VeriSign’ın Genel Ana Sertifikalandırma Otoriteleri (PCA’lar), e-Güven AltYapı SO’ları ve
VeriSign Trust Network’ü destekleyen e-Güven İdari SO’ları.
e-Güven’in Genel SO’ları ve VTN içinde Sertifikalar düzenleyen “e-Güven” ile “Temel
Hizmetler Sözleşmesi”4 akdetmiş olan Kurumsal Sertifika Otoritelerinin SO’ları.
Daha genel kapsamlı ele alırsak, SUH, VTN’nin e-Güven Altalanındaki VTN servislerinin eGüven Altalanındaki bütün bireyler ve kuruluşlarca (bir bütün halinde, e-Güven Altalanı
Katılımcıları) kullanımını düzenler. e-Güven’in kapsamındaki özel SO’lar ve hiyerarşiler bu
SUH’nin kapsamı dışındadır. VTN üç Sertifika Sınıfı içerir (Sınıf 1-3) ve SP de bu üç Sınıfın,
ortak güvenlik gereksinimlerine sahip üç uygulama sınıfına nasıl karşılık geldiğini açıklar. SP, üç
sertifika politikasını tanımlayan (her bir Sınıf için bir politika) ve her bir Sınıf için VTN
Standartlarını belirleyen tek dokümandır.
e-Güven, VTN’deki Altalanında her üç Sertifika Sınıfını da sunar. Bu SUH, e-Güven’in
Altalanındaki her bir Sınıf için SP gereksinimlerini nasıl karşıladığını açıklar. Bu suretle, SUH,
tek doküman olarak, her üç Sertifika Sınıfının düzenlenmesi ve yönetimiyle ilgili uygulamaları
ve prosedürleri kapsar.
(a)
e-Güven SUH’sinin ve Diğer Uygulama Dokümanlarının Rolü
SP, VTN’nin genel ticari, hukuki ve teknik altyapısını genel olarak tarif eder. Bu SUH, daha
sonra, SP’deki VTN Standartlarını e-Güven Altalanı katılımcılarına uygular ve e-Güven’in
SP’ye karşılık olarak spesifik uygulamalarını açıklar. Daha spesifik olarak ele alırsak, SUH,
başka hususların yanı sıra aşağıdakileri de tarif eder:
•
•
•
VTN’nin e-Güven Altalanındaki Sertifika Otoritelerinin, Kayıt Otoritelerinin, Sertifika
Kullanıcılarının ve İtimat Eden Tarafların sorumlulukları.
e-Güven Altalanında her türlü hizmet anlaşmaları ve İtimat Eden Taraf Anlaşmaları
kapsamındaki hukuki konular.
e-Güven’in ve e-Güven Altalanı Katılımcılarının yaptığı denetim, ilgili güvenlik ve
uygulama incelemeleri.
3
VeriSign SO’lar Küresel Ortakların SO’larına sertifika düzenlemesine rağmen, bir Küresel Ortağın ilgili
uygulamalar bu SUH’dan ziyade Bağlı Şahsın SUH’un kapsamındadır.
4
“Elektronik Bilgi Güvenliği A.Ş. Sertifikasyon ve Açık Anahtarlı Alt Yapı Hizmetleri Temel Hizmetler
Sözleşmesi” . Bundan böyle işbu doküman içersinde “Temel Hizmetler Sözleşmesi” olarak anılacaktır.
- 2 -
•
•
•
•
•
•
e-Güven Altalanında her bir Sertifika Sınıfı için yapılan Sertifika Başvurularının kimliğini
doğrulamak için kullanılan yöntemler.
e-Güven Altalanında Sertifika yaşam döngüsü hizmetleri için operasyon prosedürleri:
Sertifika Uygulamaları, düzenleme, kabul, iptal ve yenileme.
e-Güven Altalanında kullanılan denetim kaydı, kayıt tutma ve felaketten kurtarma için
operasyon güvenliği prosedürleri.
e-Güven Altalanı katılımcılarının fiziksel, personel, kod yönetimi ve lojik güvenlik
uygulamaları.
e-Güven Altalanındaki Sertifika ve Sertifika İptal Listesi içeriği.
Düzeltme yöntemleri dahil SUH’nin idaresi.
Bununla birlikte, SUH, VTN’nin e-Güven Altalanıyla ilgili doküman setinden sadece bir
dokümandır. Diğer dokümanlar şunlardır:
•
Aşağıdakiler gibi daha ayrıntılı gereksinimleri vererek SP ve SUH’yi tamamlayan yardımcı
güvenlik ve operasyon dokümanları:
-
VTN altyapısını düzenleyen güvenlik ilkelerini belirleyen VeriSign Güvenlik Politikası.
e-Güven için personel, fiziksel, telekomünikasyon, lojik ve şifreleme anahtar yönetimi
güvenliğiyle ilgili ayrıntılı gereksinimleri tarif eden Güvenlik ve Denetim Gereksinimleri
Kılavuzu.
e-Güven ile “Temel Hizmetler Sözleşmesi” akdetmiş olan müşteriler için personel,
fiziksel, telekomünikasyon, lojistik ve şifreleme anahtar yönetimi güvenliğiyle ilgili
ayrıntılı gereksinimleri tarif eden Kurumsal Güvenlik Kılavuzu.
Ayrıntılı anahtar yönetimi operasyon gereksinimlerini sunan Anahtar Yaratma Prosedürü
Referans Kılavuzu.
e-Güven tarafından düzenlenen yardımcı anlaşmalar ise e-Güven’in Müşterilerini,
Aboneleri ve İtimat Eden Tarafları bağlar. Anlaşmalar, başka unsurların yanı sıra VTN
Standartlarını VTN Katılımcılarına aktarır ayrıca VTN Standartlarını nasıl karşılamaları
gerektiğine dair spesifik uygulamaları belirtir.
Çoğu durumda, SUH, VTN’nin e-Güven Altalanının güvenliğini tehlikeye sokabilecek VTN
Standartlarının uygulandığı spesifik, ayrıntılı uygulamalarla ilgili olarak Tablo 1’de ve işbu SUH
içersinde belirtilen yardımcı dokümanlara atıfta bulunur.
Tablo 1, herkesin kullanımına açık olsun veya olmasın çeşitli VTN ve e-Güven uygulama
dokümanlarını ve bunların yerlerini gösteren bir matristir. Tablo 1’deki listenin geniş kapsamlı
olması amaçlanmamıştır. VTN’nin güvenliğini sağlamak için, herkesin kullanımına sunulmamış
bazı dokümanların gizli tutulduğu işbu tablo içersinde görülebilir.
Dokümanlar
VeriSign Trust Network Sertifika
Politikaları
Durum
Kullanıma
açık
Kullanıma açık olduğu yerler
SP § 8.2.2'ye göre e-Güven Veri Bankası. Bkz.
https://www.e-guven.com/repository
VTN Yardımcı Güvenlik ve Operasyon Dokümanları
SBS Güvenlik Politikası
Gizli
-------------
- 3 -
Dokümanlar
Güvenlik ve Denetim Şartları Kılavuzu
Anahtar Yaratma Prosedürü Referans
Kılavuzu
Managed PKI5 İdareci Elkitabı
Managed PKI Anahtar Yönetimi Servisi
İdareci Kılavuzu
Kurumsal Güvenlik Kılavuzu
Durum
Kullanıma açık olduğu yerler
Gizli
Gizli
-------------------------
Kullanıma
açık
Kullanıma
açık
Gizli
https://www.e-guven.com/enterprise/library/index.html
Kullanıma
açık
Kullanıma
açık;
https://www.e-guven.com/enterprise/library/index.html
-------------
e-Güven'e Özel Dokümanlar
e-Güven Sertifika Uygulama Hükümleri
e-Güven’in yardımcı anlaşmaları
İtimat Eden Tarafl Anlaşmaları
Tablo 1 – Uygulama Dokümanlarının Kullanılabilirliği
(b)
Dijital Sertifikalar ve VTN Hiyerarşisiyle İlgili Önbilgi
Bu SUH, okuyucunun Dijital İmzaları, Açık Anahtarlı Altyapı sistemini ve VTN'yi bildiğini ve
bu hususlarla ilgili temel nosyona sahip olduğunu varsayar. Okuyucunun bu konularla ilgili
nosyonu yok ise, e-Güven okuyucunun VTN'de uygulanan açık anahtar şifrelemesi ve açık
anahtar altyapısı hakkında belirli bir düzeyde eğitim almasını tavsiye eder. Genel bilgilere eGüven'in http://www.e-guven.com adresinden ulaşılabilir. Ayrıca, SP'nin Bölüm 1.1(b)'sinde
farklı VTN Katılımcılarının görevleri özetlenmiştir.
(c)
Geçerli Standartlara Uygunluk
Bu SUH'de öngörülen uygulamalar, Sertifika Otoriteleri için AICPA/CICA WebTrust Programı,
ANS X9.79:2001 PKI Uygulamaları ve Politikası Çerçevesi ve SO'ların operasyonuyla ilgili
diğer sektör standartları da dahil genel olarak kabul edilen ve geliştirilmekte olan standartları
karşılamaktadır.
Bu SUH'nin yapısı, genel olarak, bir Internet standartları kurulu olan Internet Mühendislik Görev
Ekibinin (IETF) RFC 2527 numaralı açıklama talebi olarak bilinen Internet X.509 Açık Anahtar
Altyapısı Sertifika Politikası ve Sertifika Uygulama Hükümleri Çerçevesi'ne uygundur. RFC
2527 çerçevesi Açık Anahtarlı Alt Yapı (Public Key Infrastructure – PKI) sektöründe standart
haline gelmiştir. Bu SUH, e-Güven hizmetlerini kullanan veya kullanmayı düşünen kişiler için
politika belirleme ve karşılaştırmalar için RFC 2527 çerçevesine uygun bir yapıda
hazırlanmıştır..
e-Güven faaliyet modellerinin karmaşıklığından dolayı başlıkta ve ayrıntılarda küçük
değişiklikler gerekli olmasına rağmen, e-Güven, SUH'yi mümkün olduğunca RFC 2527 yapısına
uygun hale getirmiştir. e-Güven gelecekte RFC 2527'ye sıkı sıkıya bağlı kalma politikasına
5
“Managed PKI” e-Güven ile “Elektronik Bilgi Güvenliği A.Ş. Sertifikasyon ve Açık Anahtarlı Alt Yapı Hizmetleri
Temel Hizmetler Sözleşmesi (Bundan böyle kısaca “Temel Hizmetler Sözleşmesi” olarak anılacaktır) akdetmiş olan
taraflara e-Güven tarafından sunulacağı taahhüt edilen hizmetleri tanımlamak amacıyla kullanılmaktadır.
- 4 -
devam etmeyi düşünmekle birlikte, gerekli olduğu ölçüde, örneğin SUH'nin kalitesini veya eGüven Altalan Katılımcılarına uygunluğunu artırmak için RFC 2527 yapısında değişiklik yapma
hakkını saklı tutmaktadır.
1.1.1 Politika Hakkında Genel Bilgi
e-Güven, hem kablolu ve kablosuz Internet, hem de politikaları SP'de tarif edilen üç Sertifika
Sınıfına karşılık gelen diğer ağlar için üç farklı sertifikalandırma servisi (Sınıf 1-3) sunar. Her bir
Sertifika seviyesi veya sınıfı özel işlevsellik ve güvenlik özellikleri sağlar ve belirli bir güven
seviyesine karşılık gelir. e-Güven Altalan Katılımcıları (son kullanıcı sertifika sahipleri,
Kurumsal Sertifika Otoriteleri) ihtiyaç duydukları Sınıfları seçer.
SP'nin işlevlerinden biri üç Sertifika Sınıfını ayrıntılı olarak tarif etmektir.6 Bununla birlikte, bu
bölüm, e-Güven'in Altalanında sunduğu Sertifika Sınıflarını da özetler.
Sınıf 1 Sertifikalar, e-Güven'in Altalanında en düşük güvence seviyesini sunar. Bunlar, geçerlilik
kontrol prosedürlerinin, abonenin özgün isminin SO'ların Altalanında tek ve açık olması ve
belirli bir e-posta adresinin bir açık anahtarla bağlantılı olması güvencesine dayandığı bireysel
Sertifikalardır. Bunlar, kimliğin kanıtlanmasına gerek olmayan düşük değerli veya ticari olmayan
işlemler için şifrelemeye ve erişim kontrolüne uygundur.
Sınıf 2 Sertifikalar, diğer iki Sınıfa nazaran orta düzeyde güvence sunar. Bunlar da bireysel
Sertifikalardır. Sınıf 2 geçerlilik kontrol prosedürleri, Sınıf 1 geçerlilik kontrol prosedürlerine
ilave olarak, Sertifika başvuru sahibinin verdiği bilgilerin faaliyet kayıtları veya veri tabanları ya
da e-Güven'in onayladığı kimlik kanıtlama servisinin veri tabanıyla karşılaştırılmasına dayanan
prosedürler içerirler. Bunlar, orta değerli işlemlerde kimlik kanıtı olarak kullanılmalarının yanı
sıra şifreleme ve erişim kontrolü için kullanılabilir.
Sınıf 3 Sertifikalar e-Güven'in Altalanında en yüksek düzeyde güvence sağlar. Sınıf 3
Sertifikalar bireylere, kurumlara SO ve KO İdarecilerine verilir. Sınıf 3 bireysel Sertifikalar,
yüksek değerli işlemlerde kimlik kanıtı olmalarının yanı sıra şifreleme ve erişim kontrolü için
kullanılabilir. Sınıf 3 bireysel Sertifikalar, en azından iyi bilinen bir resmi kimlik veya başka bir
kimlik belgesi kullanarak abonenin kimliğini doğrulayan bir yetkili şahsın huzurunda abonenin
şahsen (fiziksel olarak) bulunmasına dayanarak abonenin kimliğiyle ilgili güvence verirler. Diğer
Sınıf 3 kurumsal Sertifikalar, kimlik kontrolü, mesaj, yazılım ve içerik bütünlüğü ile gizlilik
maksatlı şifreleme için cihazlara verilir. Sınıf 3 kurumsal Sertifikalar, kurumun gerçekte
varolduğunun, kurumun Sertifika Başvurusuna izin verdiğinin ve kurum adına Sertifika
Başvurusunu yapan kişinin bunu yapmaya yetkili olduğunun doğrulanması şartıyla kurumun
kimliği konusunda güvence verir. Sunucular için verilen Sınıf 3 kurumsal Sertifikalar (Güvenli
Sunucu Kimlikleri ve Global Sunucu Kimlikleri), kurumların, Sertifika Başvurusunda listelenen
alan adını kullanmaya yetkili olduğuna dair güvence de verir.
Sınıf 3 Kurumsal ASB Sertifikaları (Bkz. SP § 1.1.2.2.1), Sertifikayı bir kurum adına kullanan
bir yetkili temsilcinin kullanımı için kuruma sunulur. Sınıf 3 Kurumsal ASB Sertifikaları,
kurumun kapalı anahtarını kontrolü altında tutan kişinin Sertifikadaki açık anahtara karşılık
6
Bkz. SP § 1.1.1.
- 5 -
gelen kapalı anahtarı kullanarak girilen işlemlerde kurum adına hareket etmeye yetkili olduğuna
dair güvence verir.
Aşağıdaki Tablo 2'de e-Güven tarafından SP'ye uygun olarak sunulan Sertifika Sınıfları
özetlenir.
Bu SUH'de özetlenen, SP'deki Sertifika Sınıflarına ait özellikler her bir Sınıf için verilen
minimum güvence seviyesini belirler. Örneğin, herhangi bir Sınıf 1 Sertifika, kimliğin
kanıtlanmasına gerek olmayan, yani düşük güvence seviyesi gerektiren uygulamalarda kullanılan
dijital imzalar, şifreleme ve erişim kontrolü için de kullanılabilir. Bununla birlikte, sözleşmeyle
veya belirli ortamlarda (örneğin, bir şirket içi ortam), e-Güven Altalanı Katılımcılarının SP'de
belirtilenlerden daha güçlü geçerlilik kontrol prosedürlerini kullanmalarına veya SUH §§ 1.1.1,
1.3.4.1'de tarif edilenlerden daha yüksek güvenlikli uygulamalara ait Sertifikalar kullanmalarına
izin verilir. Ancak, böyle bir kullanım bazı şirketlerle sınırlıdır ve SUH §§ 2.2.1.2, 2.2.2.2'ye
tâbidir ve bu kuruluşlar bu tip bir kullanımın yaratacağı zararlardan veya sebep olacağı
yükümlülüklerin yerine getirilmesinden tek başına sorumlu olur.
Sınıf
Düzenlenen
şahıs
Sertifikaların
Kullanılabileceği
Servisler7
Sertifika Başvuru Sahiplerinin
Kimliğinin Doğrulanması
(SUH §§ 3.1.8.1, 3.1.9)
Sınıf Bireyler
1
Perakende
Özgün ismin SO'ların Altalanında
tek ve açık olmasını sağlamak için
isim ve e-posta adresi taraması.
Sınıf Bireyler
2
Perakende ve
Kimlik Kontrol
Servisi Bürosu
Sınıf 1 Perakende servisle aynı;
ilave olarak, bir veya daha fazla
üçüncü şahıs veri tabanları veya
karşılaştırılabilir kaynaklarla
otomatik veya İdareci tarafından
başlatılan kayıt bilgisi kontrolü.
ilave olarak, Sertifika Başvuru
Sahibinin kimliğini veya Managed
PKI Müşterisine bağlı olduğunu
doğrulamak için şirket içi
dokümanların veya veri
tabanlarının kontrolü (örneğin,
insan kaynakları dokümanları).
Managed PKI
7
Kullanıcıların Yaptığı veya
Tasarladığı Uygulamalar
(SUH § 1.3.4.1)
Kimliğin kanıtlanmasına gerek
olmayan gizlilik şifrelemesi, dijital
imzalar ve web esaslı erişim
kontrolüyle e-posta güvenliğinin
belirli bir düzeyde artırılması.
Ticari olmayan web taraması ve eposta gibi, diğer Sınıflara nazaran
düşük güvence seviyesi gerektiren
uygulamalar.
Gizlilik şifrelemesi, dijital imzalar
ve web esaslı erişim kontrolü
yoluyla e-posta güvenliğinin
artırılması. Bazı bireysel ve şirket
içi ve şirketler arası e-posta,
çevrim içi abonelikler, muhasebe
uygulamaları ve şifre değiştirme
gibi diğer Sınıflara nazaran orta
güvence seviyesi gerektiren
uygulamalar (Yukarıda bahsi
geçen işlemler için kimlik kanıtı
olarak kullanım dahil).
Perakende Sertifikalar, web sitesinden başvuru yapan bireyler ve kurumlar için, SO olarak görev yapan e-Güven
tarafından düzenlenen Sertifikalardır. Managed PKI Sertifikaları, belirli miktarda Sertifika düzenlemek için e-Güven
ile bir Managed PKI Anlaşması yapan bir Managed PKI Müşterisince onaylanmış bir Sertifika Başvurusuna dayanır
(Bkz. SSP § 1.1.2.1.1). Perakende ve Managed PKI Sertifikalarına ilave olarak, SO ve KO İdarecileri için ve Kimlik
Kontrol Servisi Bürosu vasıtasıyla VTN Sertifikaları düzenlenir. Kimlik Kontrol Servisi Bürosu hakkında daha fazla
bilgi için Bkz. SSP § 1.1.2.2.1. İdareci Sertifikaları, SO ve KO İdarecilerine, SO ve KO adına idari görevleri yerine
getirmelerine izin vermek için düzenlenir.
- 6 -
Sınıf
Düzenlenen
şahıs
Sınıf Bireyler
3
Kurumlar
Sertifikaların
Kullanılabileceği
Servisler7
Sertifika Başvuru Sahiplerinin
Kimliğinin Doğrulanması
(SUH §§ 3.1.8.1, 3.1.9)
Perakende
ilave olarak, kişisel varlık ve iki
veya daha fazla kimlik belgesinin
kontrolü.
İdareciler
İdareci tipine bağlı olarak özel
doğrulama prosedürleri. İdarecinin
ve İdareciden yararlanan kurumun
kimliği doğrulanır. Ayrıca Bkz.
SUH § 5.2.3.
Üçüncü şahıs veri tabanının veya
kurumun ismini kullanmak hakkını
kanıtlayan başka dokümanların
kontrolü. Sertifika Başvurusundaki
bilgileri doğrulamak ve Sertifika
Başvurusunun kimlik kontrolünü
yapmak için telefonla (veya
karşılaştırılabilir bir prosedürle)
geçerlilik kontrolü. Web sunucu
Sertifikalarının verilmesi
durumunda Sertifika Başvuru
Sahibinin Sertifikada belirtilecek
alan adını kullanma hakkına sahip
olduğunun doğrulanması.
Üçüncü şahıs veri tabanı veya
kurumun varlığını gösteren başka
dokümanların kontrolü. Sertifika
Başvurusundaki bilgileri
doğrulamak ve Sertifika
Başvurusunun kimlik kontrolünü
yapmak için telefonla (veya
karşılaştırılabilir bir prosedürle)
geçerlilik kontrolü. Web sunucu
Sertifikaları durumunda Sertifika
Başvuru Sahibinin Sertifikada
belirtilecek alan adını kullanma
hakkına sahip olduğunun
doğrulanması.
Sınıf 3 kurumsal Perakende serviste
olduğu gibi SSL için Managed PKI
Müşterisinin veya SSL Premium
Edition için Managed PKI
Müşterisinin geçerliliğinin kontrolü
ve ayrıca Managed PKI İdarecisinin
geçerliliğinin kontrolü.
Perakende
Kimlik Kontrol
Servisi Bürosu
Managed PKI
Tablo 2 - Güveni Etkileyen Sertifika Özellikleri
- 7 -
Kullanıcıların Yaptığı veya
Tasarladığı Uygulamalar
(SUH § 1.3.4.1)
Gizlilik şifrelemesi, kimlik
kontrolü için dijital imzalar ve
web esaslı erişim kontrolü yoluyla
e-posta güvenliğinin artırılması.
diğer Sınıflara nazaran yüksek
uygulamalar (yüksek değerli
işlemler için kimlik kanıtı olarak
kullanım dahil).
İdarecinin görevleri.
Sunucu kimlik kontrolü, gizlilik
şifrelemesi ve (başka sunucularla
iletişimde bulunulurken) istemci
kimlik kontrolü (Güvenli Sunucu
Kimliği, Global Sunucu Kimliği
ve Kablosuz Nakil Seviyesi
Güvenlik Sertifikaları); kimlik
kontrolü, mesaj bütünlüğü;
yazılımların ve diğer içeriklerin
kimlik kontrolü ve bütünlüğü.
Bir kurum adına gönderilen epostanın güvenliğinin, gizlilik
şifrelemesi, kimlik kontrolü için
dijital imzalar ve web esaslı erişim
kontrolü yoluyla artırılması. Bir
B2B şirket dışı ağa erişim
sağlamak ya da bir B2B santralde
yüksek değerli işlemler yapmak
gibi diğer Sınıflara nazaran yüksek
uygulamalar.
Sunucu kimlik kontrolü, gizlilik
şifrelemesi ve (uygun şekilde
etkinleştirilmiş başka sunucularla
iletişimde bulunulurken) istemci
kimlik kontrolü (Güvenli Sunucu
Kimliği, Global Sunucu Kimliği).
1.1.2 VeriSign’ın VTN Servisleri Sunumu
VTN, Sertifikaların düzenlenmesini, yönetimini ve kullanımını desteklemek için SP § 1.1.2’de
tam olarak tarif edilen bir dizi servis sunar. Bu bölüm, e-Güven’in SP § 1.1.2’ye göre hangi VTN
servislerini sunduğunu ele alır. Bu programlardan herhangi biri hakkında ayrıntılı bilgi eGüven’in http://www.e-guven.com adresindeki web sitesine başvurun. Bu servislerin tümü eGüven’le özel anlaşmalara tâbidir. Tablo 3, VTN servislerinin sunumunu özetler.
VTN Servisi
SP’de
Açıklama
e-Güven’in Sunumu
Sertifika Dağıtım Servisleri
VeriSign Managed PKI®
SP § 1.1.2.1.1
Managed PKI
Managed PKI Lite
SSL için Managed PKI
SSL Premium Edition için Managed PKI
Web Ana Sistem Programı
SP § 1.1.2.1.4
Web Ana Sistem servisleri
Kimlik Kontrolü Servisleri
SP § 1.1.2.2.1
VeriSign Dijital Onay Servisi
SP § 1.1.2.2.2
Dış kaynaktan temin edilen kimlik kontrolü servisleri
Kimlik Kontrol Servisi Bürosu
e-Güven Dijital Onay Servisleri
Katma Değerli Hizmetler
Özel Sertifika Tipleri
e-Güven Key Manager Servislerinin
sunduğu VeriSign Managed PKI
e-Güven’in sunduğu VeriSign Roaming
Servisi
SP § 1.1.2.3.2
SP § 1.1.2.3.3
Managed PKI Key Manager çift anahtar sistemler
Managed PKI Key Manager tek anahtarlı sistemler
Kuruluşun Kurumsal Roaming Sunucusuna sahip
olduğu Roaming Servisi
Güvenilen bir dördüncü şahsın Kurumsal Roaming
Sunucusuna sahip olduğu Roaming Servisi
Tablo 3 – e-Güven’in VTN Servisleri Sunumu
1.1.2.1 Sertifika Dağıtım Servisleri
1.1.2.1.1
e-Güven’in Sunduğu VeriSign Managed PKI®
e-Güven’in sunduğu VeriSign Managed PKI, e-Güven’in kurumsal müşterilerinin, çalışanları,
ortakları, tedarikçileri ve müşterileri gibi bireylere; ve bunun yanı sıra sunucular, rooterlar ve
güvenlik duvarları gibi cihazlara Sertifikalar verdiği tam entegre bir dış kaynaklı Açık Anahtarlı
Alt Yapı yönetim hizmetidir. e-Güven tarafından sunulan VeriSign Managed PKI servisi SP
§ 1.1.2.1.1’de ayrıntılı olarak tarif edilmiştir. e-Güven’in Alt alanında, Managed PKI güvenlik
gereksinimleri Kurumsal Güvenlik Kılavuzunda belirtilmiştir. Managed PKI dış kaynaklı temin
edilen bir hizmettir. e-Güven’in sunduğu VeriSign Managed PKI servisini alan e-Güven
Müşterileri (“Managed PKI Müşterileri”) üç kategoriye ayrılır.
- 8 -
Birincisi, bazı Managed PKI Müşterileri (“Managed PKI Müşterileri”), VTN’nin e-Güven
Altalanında bir Sertifika Otoritesi olarak sertifika müracaatçılarına Sertifikaları verir. Managed
PKI Müşterileri, Kayıt Otoritesi (RA) “ön uç” işlevlerini yerine getirir: Sertifika Başvurularını
onaylamak veya reddetmek ve Managed PKI işlevlerini kullanarak Sertifikaları iptal etmek veya
yenilemek. Bununla birlikte KO işlevleri SO işlevlerinin bir alt kümesidir ve RA işlevleri
Managed PKI Müşterilerinin faaliyetlerinde daha yaygın olarak kullanılır. Managed PKI
Müşterisi, aynı zamanda, bütün “arka uç” Sertifika düzenleme, yönetme, iptal ve yenileme
işlevlerini e-Güven’den temin ederek VeriSign Trust Network’ün güvenli PKI omurgasını
güçlendirebilir.
İkinci Managed PKI Müşterileri kategorisi (“Managed PKI Lite Müşterileri”), tipik Managed
PKI Müşterilerinden daha küçük kuruluşlar ve kurumlar için güvenlik sağlayan Managed PKI
Lite kullanır. Managed PKI Lite Müşterileri, e-Güven’in belirli bir Sertifika sınıfındaki Managed
PKI Lite Müşterileri arasında paylaşılan bir e-Güven SO’suyla bağlantılı Kayıt Otoriteleri
olurlar. Managed PKI Lite Müşterileri, Managed PKI Müşterileri gibi, Managed PKI işlevlerini
kullanarak Sertifika Başvurularını onaylar veya reddeder, Sertifikaların iptalini veya
yenilenmesini talep eder. Bu kategoride de Managed PKI Müşterileri gibi, e-Güven, bütün arka
uç Sertifika düzenleme, yönetme, iptal ve yenileme işlevlerini yerine getirir.
Son Managed PKI Müşterileri kategorileri, Güvenli Sunucu Kimlikleri olarak bilinen sunucu
Sertifikaları (“SSL için Managed PKI Müşterileri”) ve Global Sunucu Kimlikleri olarak bilinen
sunucu Sertifikaları (“SSL Premium Edition için Managed PKI Müşterileri”) için yapılan
başvuruları onaylar. (Güvenli Sunucu Kimlikleri ile Global Sunucu Kimlikleri arasındaki
farklılıklar hakkında bilgi için Bkz. SUH § 1.3.4.1.3.2.) SSL için Managed PKI Müşterileri ve
SSL Premium Edition için Managed PKI Müşterileri, bütün VTN (e-Güven’inki dahil) SSL için
Managed PKI Müşterileri veya SSL Premium Edition için Managed PKI Müşterileri arasında
paylaşılan bir e-Güven CA’sıyla bağlantılı Kayıt Otoriteleri olurlar. SSL için Managed PKI
Müşterileri ve SSL Premium Edition için Managed PKI Müşterileri, diğer Managed PKI
Müşterileri gibi Managed PKI işlevlerini kullanarak Sertifika Başvurularını onaylar veya
reddeder ve Sertifikaların iptalini veya yenilenmesini talep eder. Ayrıca, e-Güven, diğer
Managed PKI Sertifikalarında olduğu gibi, bütün arka uç Sertifika düzenleme, yönetme, iptal ve
yenileme işlevlerini yerine getirir.
e-Güven’in Managed PKI Müşterileri ve Managed PKI Lite Müşterilerinin, aşağıda belirtilenler
haricinde kendi müşterileri ve çalışanları dışındaki kişilerin Sertifika Başvurularını
onaylamalarına izin verilmemiştir. Managed PKI Müşterileri, genel kullanıma açık VTN
Sertifikaları için yapılan başvuruları onaylayamaz. Ancak, Kimlik Kontrol Servisi Bürosu,
Managed PKI Müşterileri ve Managed PKI Lite Müşterilerinin ticari ilişkide olmadığı şahıslar ile
kurum temsilcileri için Sertifika almak isteyen kurumlar için özel bir çözüm sunar. Bkz. SUH
§ 1.1.2.2.1.
Bir SSL için Managed PKI Müşterisi veya SSL Premium Edition için Managed PKI Müşterisi
sadece kendi kurumu içindeki sunucular için yapılan Sertifika Başvurularını onaylayabilir. SSL
için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterilerinin kendi
- 9 -
kurumları dışındaki sunucular için yapılan Sınıf 3 Sertifika Başvurularını onaylamasına izin
verilmemiştir ve genel kullanıma açık Sertifikalar düzenleyemezler.
1.1.2.1.2
VeriSign Küresel Ortak Programı
e-Güven, Siemens Business Services Sistem Hizmetleri A.Ş. (SBS) ile yaptığı anlaşma gereğince
SP § 1.1.2.1.2’de tarif edilen “İşlem Merkezi”nin yürütümünü üstlenmektedir. Bu durum, eGüven’in SBS’in sorumluluğunda, Sertifika düzenlemede kullanılan kapalı anahtarlara sahip
şifreleme modüllerini, SO sistemlerini ve başka elemanları içeren dünya standartlarında güvenli
bir tesis binasını SBS’e kurdurduğunu gösterir. e-Güven VTN’de bir SO görevi görür ve
Sertifika düzenleme, yönetme, iptal ve yenileme gibi Sertifika yaşam döngüsüne ait tüm
hizmetleri yerine getirir. Ayrıca, kendi Managed PKI Müşterileri ya da e-Güven’in kontrol ve
denetimindeki Servis Merkezlerinin Managed PKI Müşterileri adına sertifika yaşam döngüsü
hizmetlerini sunar. e-Güven, ayrıca, SP § 1.1.2.1.2’de tarif edilen her üç faaliyet alanında
Sertifika verir: Tüketici (Sınıf 1 ve 2 Bireysel Sertifikalar), Web Sitesi (Güvenli Sunucu
Kimlikleri ve Global Sunucu Kimlikleri) ve Kurumsal (Managed PKI servisleri sağlar). Küresel
Ortakların VTN’den bağımsız verdiği hizmetlerle ilgili uygulamalar ve VeriSign’ın Küresel
Ortaklarına verdiği hizmetler bu SUH’nin kapsamı dışındadır.
1.1.2.1.3
Web Host Programı8
e-Güven’in SP § 1.1.2.1.4’de ayrıntılı olarak tarif edilen Web Host Programı,müşterilerinin web
siteleri adına Perakende Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri için Sertifika
yaşam döngüsü işlemlerini yönetmek amacıyla müşterilerinin web siteleri için bir Web Host
olarak hareket etmelerine izin verir. Web Host Programı, Web Host Sistemlerinin, Web Host
müşterileri olan son kullanıcı aboneler adına Güvenli Sunucu Kimlikleri ve Global Sunucu
Kimlikleri kaydı yapmasına izin verir. Web Host Sistemleri kayıt işlemini desteklemesine
rağmen (Bkz. SP § 4.1.1) geçerlilik kontrolü işlevlerini yerine getirmez; bu geçerlilik kontrolü
işlevleri e-Güven tarafından yerine getirilir. Ayrıca, gerçek aboneler olarak Güvenli Sunucu
Kimlikleri ve Global Sunucu Kimlikleri alanlar Web Host Sistemi müşterileridir ve uygun
Abonelik Anlaşması altında abonenin sorumluluklarının yerine getirilmesinden bütünüyle
sorumludurlar. Web Host Sistemleri, müşterilerine sorumlulukları hakkında bilgi vermek için
ilgili Abonelik Anlaşmalarının temininden sorumludur.
1.1.2.2 Katma Değerli Sertifikalandırma Hizmetleri
1.1.2.2.1
Kimlik Kontrolü Servisleri
e-Güven (bu Servis şu anda e-Güven tarafından sunulmamakta; bu servisin sunulmasıyla ilgili alt
yapı çalışmaları devam etmektedir), kurumlara, SP § 1.1.2.2.1’de ayrıntılı olarak tarif edilen dış
kaynaktan temin edilen kimlik kontrolü hizmetlerini ve Kimlik Kontrol Servisi Bürosu
hizmetlerini sunar. e-Güven, dış kaynaktan temin edilen kimlik kontrolü servisleriyle Müşterileri
adına Sertifika Başvuru Sahiplerinin kimliğini doğrular. Bu Managed PKI Müşterileri, Abone
8
Bu servis şu anda hazırlık aşamasında olup, işbu SUH’un yürürlükte olduğu dönem içersinde e-Güven tarafından
sunulmamaktadır.
- 10 -
kullanıcı tabanının tamamının veya herhangi bir kısmının kimlik kontrolünü dış kaynaktan temin
etmeyi isteyebilir. Kimlik kontrol servislerinin dış kaynaktan temini e-Güven ile anlaşmaya
tâbidir.
e-Güven, Managed PKI Müşterisi için belirli kimlik kontrol faaliyetlerini yürüttüğü ölçüde,
Managed PKI Müşterisinin bu SUH'deki sorumluluklarını onun adına yerine getirmekten
sorumlu olur. Ancak, bu sorumlulukların e- Güven tarafından yerine getirilmesi halinde dahi,
Managed PKI Müşterisi, kullanıcı veritabanındaki bilgileri münhasıran kendi tarafında
barındırması veya iptal taleplerinin kendisi tarafından
başlatılması gibi kimlik kontrol
sorumluluklarını elinde tuttuğu ölçüde SUH'de belirtilen sorumluluklarından ber’i tutulmaz.
e-Güven Kimlik Kontrol Servisi Bürosu programı, e-Güven’in bir kurum adına son kullanıcı
abonelerinin kimliğini doğrulamasına olanak sağlar. e-Güven bu servisi bir B2B veya B2C şirket
dışı ağın operatörlerine ya da bu servisler için e-Güven'le uygun anlaşma yapacak sujelere (ASB
Müşterileri) sunar. e-Güven, Kimlik Kontrol Servisi Bürosu programı altında Sınıf 2 bireysel
Sertifikaları ("Sınıf 2 Bireysel ASB Sertifikaları") ve ASB Müşterisiyle karşılıklı ilişki içinde
olan kurumların yetkili temsilcilerinin kullandığı Sınıf 3 kurumsal Sertifikaları ("Sınıf 3
Kurumsal ASB Sertifikaları") ve buna bağlı hizmetleri sunar.
ASB Müşterisi bir SO olmak için e-Güven'le anlaşma yapar. Bu SO, ASB Müşterisinin CA
olduğunu gösteren, aynı onay işaretine sahip Sertifikalar düzenler. Ancak, ASB Müşterisi çoğu
SO işlevini (hem ön uç, hem de arka uç) e-Güven'den temin eder. e-Güven doğrudan kendisine
iletilen iptal taleplerini işleme alabilir, ancak ASB Müşterisi CA'sının SP § 4.4.1.1'e göre
düzenlediği Sertifikaların iptalini başlatma sorumluluğu ASB Müşterisinin bizzat yerine getirdiği
SO işlevlerinden biridir. ASB Müşterisinin iptal başlatma sorumluluğu hariç olmak üzere, eGüven bütün kimlik doğrulama ve Sertifika yaşam döngüsü hizmetlerini ASB Müşterisi adına
yerine getirir. e-Güven, Kimlik Kontrol Servisi Bürosu servislerini yerine getirirken ASB
Müşterisi için Kayıt Otoritesi (KO) olarak görev yapar.
Zaman zaman e-Güven kimlik kontrol servislerini ve Kimlik Kontrol Servisi Bürosu hizmetlerini
dış kaynaktan temin etmek için sözleşmeler yapabilir. e-Güven bu hizmetlerin dış kaynaklı
temini için yaptığı sözleşmelerde, sözleşmenin karşı tarafının bu SUH altında bu servisleri temin
etmek için e-Güven’in karşılaması gereken bütün güvenlik şartlarını ve diğer şartları
karşılamasını ister.
1.1.2.2.2
e-Güven’in Sunduğu VeriSign Dijital Onay Servisi9
e-Güven SP § 1.1.2.2.2'de belirtilen “e-Güven’in tarafından sağlanan VeriSign Dijital Onay
Servisi”ni sunar. e-Güven’in bahsi geçen servisi sunumu, e-Güven ile bu servisten yararlanmanın
kural ve şartlarını tespit eden sözleşmenin koşullarına tâbidir.
9
sunulmamaktadır.
- 11 -
1.1.2.3 Özel Sertifika Tipleri
1.1.2.3.1
e-Güven’in Sunduğu VeriSign Managed PKI Key Manager Servisleri
Managed PKI Key Manager yazılımı, Managed PKI Müşterilerinin, Sertifika Başvurularını
onayladıkları Aboneler adına anahtar çiftleri yaratmalarına izin verir. Ayrıca bu yazılım,
Managed PKI Müşterilerinin Abonelere kapalı anahtarlarını güvenli biçimde iletmelerini,
Abonelerin kapalı anahtarlarının
Managed PKI Müşterileri tarafından yedekleme amaçlı
kopyasını güvenli biçimde saklamalarını ve gerektiğinde kapalı anahtarları kurtarmalarını sağlar.
Managed PKI Key Manager hem tekli, hem de ikili anahtar çifti sistemini işlevsel kılmayı sağlar.
Tekli anahtar çifti sistemleri bir son kullanıcı Abonenin hem dijital imza, hem de şifreleme
işlevleri için kullandığı anahtarları yaratır. Aboneye her iki işlev için bir Sertifika verilir. İkili
anahtar çifti sistemleri, tek anahtar çifti sisteminin aksine, Managed PKI Key Manager yazılımı
son kullanıcı Abonenin şifreleme için kullandığı bir anahtar çifti yaratır. Bununla birlikte,
abone, dijital imza işlevleri için kendi anahtar çiftini kendisi yaratır. Bir ikili anahtar çifti
sisteminde, Aboneye, her bir açık anahtar için bir tane olmak üzere iki Sertifika verilir. Managed
PKI Key Manager yazılımı, e-Güven’in sunduğu VeriSign Anahtar Kurtarma Servisiyle
bağlantılı olarak çalışır. Managed PKI Key Manager SP § 1.1.2.3.2’de ayrıntılı olarak tarif
edilmiştir.
Managed PKI Key Manager yazılımı, kapalı anahtarların yedekleme amaçlı kopyasını Managed
PKI Müşterisinin tesisinde, şifrelenmiş formda saklar. Her bir Abonenin kapalı anahtarı, özel bir
anahtar şifreleme koduyla ayrı ayrı şifrelenir. Anahtar kurtarma teknolojisi kullanılarak bu
şifreleme anahtarından bir anahtar kurtarma bloğu (“KRB”) yaratılır ve sonra şifreleme anahtarı
silinir. Hem Abonenin şifrelenmiş anahtarı, hem de KRB, Managed PKI Müşterisinin
sistemlerindeki Key Manager veri tabanında saklanır.
Managed PKI Key Manager yazılımı, e-Güven’in sunduğu VeriSign Anahtar Kurtarma
Servisiyle bağlantılı olarak çalışır. Bir kapalı anahtarın kurtarılması, Managed PKI Müşterisinin
idarecisi yönetiminde Managed PKI Key Manager’ın veri tabanından KRB’yi almasını ve eGüven’in güvenli veri merkezinin çalıştırdığı Anahtar Kurtarma Servisine çevrim içi olarak
göndermesini gerektirir. KRB’yi çözebilen ve yerleşik şifreleme anahtarını kurtarabilen kapalı
anahtar Sadece e-Güven tarafından muhafaza edilir. Geçerli bir KRB verilirse ve doğru acil
kurtarma anahtarları sağlanırsa, Anahtar Kurtarma Servisi şifreleme anahtarını Managed PKI
Key Manager yazılımına geri gönderir ve böylece buna karşılık gelen kapalı anahtarı
kurtarmasına olanak sağlar. Burada kurtarılan kapalı anahtar dijital imza için kullanılan kapalı
anahtar değildir, zira dijital imza için kullanılan kapalı anahtarın yedeği alınamaz.
1.1.2.3.2
e-Güven’in Sunduğu VeriSign Roaming Servisi10
e-Güven’in Managed PKI Müşterilerine sunulan “VeriSign Roaming Servisi” bir Abonenin
hisse alım satımı gibi kritik işlemleri dijital olarak imzalamasına ve kapalı anahtarının bulunduğu
tek bir müşteri terminaline bağlı olmadan gizli bilgilere erişim elde etmesine olanak sağlar. e10
sunulmamaktadır.
- 12 -
Güven’in roaming teknolojisi, servisi kullanan Abonelerin (“Roaming Aboneleri”) kapalı
anahtarlarını güvenli olarak indirmesine ve farklı müşteri terminallerinde kapalı anahtar işlemleri
yapmasına izin verir. Roaming Abonesi kendi kapalı anahtarını herhangi bir müşteri
terminalinden kullanabilir.
e-Güven’in sunduğu VeriSign Roaming Servisi, Roaming Abonelerinin kapalı anahtarlarını, tek
bir kimlik belgesi sunucusu üzerinde saldırılara karşı korumak için ikiye ayırır ve iki farklı
sunucuda iki farklı fiziki yere kaydedilmiş simetrik anahtarlarla şifreler. Özellikle, bu simetrik
anahtarların bileşenleri Managed PKI Müşterisinin tesisinde bulunan bir sunucu (“Kurumsal
Roaming Sunucusu” veya Managed PKI Müşterisi yerine güvenilen bir dördüncü şahıs) ile eGüven’deki bir diğer sunucu (“e-Güven Roaming Sunucusu”) arasında bölünür. Kapalı anahtarın
kendisi Kurumsal Roaming Sunucusunda şifrelenmiş formda saklanır. Roaming Abonesi bir şifre
kullanarak kendisini bu sunuculara tanıtır ve şifrenin sunuculara başarıyla verildiği kabul
edilirse, şifrelenmiş kapalı anahtar ve Abonenin kapalı anahtarının şifresini çözmek için gereken
simetrik anahtarın bileşenleri müşteri terminaline indirilir. Müşteri terminalinde simetrik anahtar
yeniden oluşturulur, Abonenin kapalı anahtarının şifresi çözülür ve sonra da tek bir oturumda
kullanıma sunulur. Oturumdan sonra müşteri terminalindeki kapalı anahtar bir daha
kurtarılamayacak şekilde silinir.
1.2
Tanımlama
Bu doküman e-Güven Sertifika Uygulama Hükümleri belgesidir.. VTN Sertifikaları, ilgili VTN
Sertifika Sınıfına karşılık gelen nesne tanımlayıcı değerleridir. Bu nedenle, e-Güven bu SUH’ye
bir nesne tanımlayıcı değeri tahsis etmemiştir. Sertifika Politikası Nesne Tanımlayıcıları SUH
§ 7.1.6’ya göre kullanılır.
1.3
Kullanıcı Grubu ve Kullanılabilirlik
Bu SUH’un kapsamındaki kullanıcı grubu, VeriSign Trust Network içindeki e-Güven
Altalanıdır. VTN ise, iletişim ve bilgi güvenliği konusunda çok çeşitli ihtiyaçları bulunan, dünya
çapında, büyük, herkese açık ve geniş dağılım gösteren kablolu ve kablosuz kullanıcılardan
oluşan bir grubu içine alan bir AAA’dır. VTN’nin e-Güven Altalanı bu SUH’un düzenlediği
VTN bölümüdür . SUH, VTN’nin e-Güven Altalanını kapsayan bir dokümandır. e-Güven
Altalanı Katılımcılarının çoğu Türkiye’de bulunur.
1.3.1 Sertifika Otoriteleri
Sertifika Otoritesi terimi, VTN içinde Sertifika veren bütün kuruluşlara atıfta bulunan bir
şemsiye terimdir. “SO” terimi Ana Sertifikalandırma Otoriteleri (PCA’lar) olarak adlandırılan ve
sertifika düzenleyenlerden oluşan bir alt kategoriyi de içine alır. PCA’lar, her bir Sertifika sınıfı
için bir tane olmak üzere üç alanın temelini oluşturur. Her PCA bir VeriSign kuruluşudur. Her
bir Sertifika sınıfı için halen üç kuşak VeriSign PCA’ları (G1, G2 ve G3) bulunmaktadır.
PCA’ların mahiyetinde son kullanıcı Abonelere veya başka SO’lara Sertifikalar veren Sertifika
Otoriteleri bulunur. e-Güven Altalanındaki SO’lar üç kategoriye ayrılır: (1) e-Güven’in kendisi,
(2) Managed PKI Müşterileri ve (3) ASB Müşterileri. VeriSign, bütün VTN PCA’larını içine
alan bir İşlem Merkezidir. e-Güven ise kendine ait bütün SO’ları ve alt alanı içersinde tanımlı
olan SO’ları ve bunlkarta bağlı olan SO’ları içine alan bir İşlem Merkezidir.
- 13 -
e-Güven SO’ları, Sertifika Başvurularının, Managed PKI Lite Müşterileri, SSL için Managed
PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterilerince onaylanmasından
sonra Sertifikalar veren SO’lar haricindeki bütün SO işlevlerini (KO işlevleri de dahil) yerine
getirir. Managed PKI Müşterileri, VTN içinde SO olurlar. Managed PKI Müşterileri arka uç
işlevlerini bir İşlem Merkezinden temin eder, KO işlevlerini ise kendisi yerine getirir. ASB
Müşterileri e-Güven’le sözleşme yapar ve böylece ASB Müşterisinin SO olduğunu gösteren
Sertifikalar düzenleyen bir SO olurlar. Ancak ASB Müşterileri, ASB Müşterisi SO’sunun
düzenlediği Sertifikaların SUH § 4.4.1.1’e göre iptalini başlatma sorumluluğu hariç olmak üzere
bütün ön uç ve arka uç işlevlerini e-Güven’den temin eder.
SP § 1.3.1’de ele alındığı gibi, VeriSign’ın RSA Security Inc.’den temin ettiği RSA Güvenli
Sunucu Sertifika Otoritesi, Sınıf 3 Kurumsal Sertifikalar olduğu kabul edilen Güvenli Sunucu
Kimlikleri düzenler. VeriSign, RSA Güvenli Sunucu Sertifika Otoritesini onaylar ve VTN’nin eGüven Altalanında bir Sınıf 3 SO olarak tayin eder. Bunun düzenlediği Sertifikaların (Güvenli
Sunucu Kimlikleri) başka Sınıf 3 kurumsal Sertifikalarla karşılaştırılabilir güvenilirlik taahhüdü
verdiği kabul edilir.
1.3.2 Kayıt Otoriteleri
VTN’nin e-Güven Altalanında, KO’lar dört kategoriye ayrılır: (1) Managed PKI Lite Müşterileri,
(2) SSL için Managed PKI Müşterileri, (3) SSL Premium Edition için Managed PKI Müşterileri
ve (4) görevi gereği ASB sağlayıcı olan e-Güven.
e-Güven’in önceden yazılı onayıyla başka KO tiplerine izin verilir, ancak Managed PKI
teknolojisi ile bu KO’ların kullandığı teknoloji arasındaki farklılıklar ve uygun bir anlaşmanın
şartları açıklamak için gereken değişikliklere tâbi olarak, bu SO’ların Managed PKI
Müşterilerine yüklenen sorumlulukları yerine getirmesi gerekir. KO’lar, kimlik doğrulama,
Sertifika Başvurularını onaylama veya reddetme, Sertifikaların iptalini talep etme ve yenileme
taleplerini onaylama veya reddetme ön uç işlevlerini yerine getirerek bir SO’ya yardımcı olur.
Managed PKI Lite Müşterileri, son kullanıcı Abonelere müşteri Sertifikaları düzenlemede eGüven’in SO’suna yardımcı olan KO’lar olurlar. Benzer şekilde, SSL için Managed PKI
Müşterileri ve SSL Premium Edition için Managed PKI Müşterileri, Güvenli Sunucu Kimlikleri
veya Global Sunucu Kimlikleri düzenlemede RSA Güvenli Sunucu SO’suna, VeriSign
Uluslararası Sunucu SO’suna - Sınıf 3 veya benzeri e-Güven SO’suna yardımcı olan ve Managed
PKI kullanan KO’lar olurlar. ASB sağlayıcı olarak e-Güven, ASB Müşterilerine Kimlik Kontrol
Servisi Bürosu servisleri sunar. ASB sağlayıcı olarak e-Güven, ASB Müşterisi SO’ları için hem
KO ön uç işlevlerini, hem de KO arka uç işlevlerini yerine getirir.
1.3.3 Son Kullanıcılar
Tablo 4, VTN’nin e-Güven Alt alanında sunulan her bir Sertifika Sınıfı veya tipi için Abone
gruplarını gösterir.
- 14 -
Sınıf
Verilen
Sınıf 1 Bireyler
Sınıf 2 Bireyler
Sınıf 3 Bireyler
Sertifikaların
kullanıldığı
servisler
Perakende
Perakende ve
Kimlik Kontrol
Servisi Bürosu
Managed PKI
Perakende
İdareciler
Kurumlar Perakende
Kimlik Kontrol
Servisi Bürosu
Managed PKI
Abone tipleri
Belirli bir grubun üyesi olsun ya da olmasın herhangi bir şahıs.
İki seviyeli Kimlik Kontrol Servisi kapsamı hariç olmak üzere, Managed
PKI Müşterisiyle ticari ve/veya iş ilişkisi içersinde olan kişiler. İki
seviyeli Kimlik Kontrol Servisi altında hizmet alan Managed PKI
Müşterileri, KO işlevlerini yürütmeyle ilgili işleri yerine getirmek üzere
ilişkileri bulunan başka bir kurumu KO işlevlerini yürütmeyle ilgili
işlerle sınırla kalmak koşuluyla yetkilendirebilir. Managed PKI
Sertifikası alan bireylerin KO işlevlerini yürütmeyle ilgili işler
konusunda yetkilendirilmiş olan kuruma bağlı çalışmaları
gerekmektedir. .
İdareci göreviyle servis sunan bireyler (e-Güven, Managed PKI
Müşterileri veya güvenilen dördüncü şahıslar adına Sertifika veya
sertifikalandırma servisi yönetim işlevlerini yerine getiren Güvenilen
Şahıslar).
Aşağıdakiler de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla
bir cihazı kontrol eden kurumlar:
• Web sunucular veya web trafik yönetim cihazları (Güvenli Sunucu
Kimlikleri ve Global Sunucu Kimlikleri)
• OFX sunucuları
• Kod veya başka içerikleri dijital olarak imzalayan cihazlar
Kapalı anahtarları kurumların yetkili temsilcilerince kontrol edilen ve bu
temsilcilerin ilgili kurumlar adına hareket etme yetkisine sahip
olduğunun kimlik kontrol prosedürleriyle doğruladığı kurumlar.
Managed PKI İdarecisinin Güvenli Sunucu Kimlikleri ve/veya Global
Sunucu Kimlikleri düzenlenmesini onayladığı birden fazla web
sunucusunu kontrol eden kurumlar.
Tablo 4 – VTN’nin e-Güven Altalanındaki Abone Tipleri
SO’lar, teknik anlamda, kendisi için imzalı Sertifika düzenleyen bir PCA ya da bir Üst SO’nun
Sertifika düzenlediği bir SO olarak Sertifika Aboneleridir. Ancak, bu SUH’da “Aboneler”e
yapılan atıflar sadece son kullanıcı Aboneler için geçerlidir.
1.3.4 Geçerlilik
Bu SUH, e-Güven, Müşteriler, Kurumsal SO’lar, VTN içersinde sertifika Hizmeti veren bireyler
ve kurumlar, Kayıt Otoriteleri, Aboneler ve İtimat Eden Taraflar da dahil bütün e-Güven
Altalanı Katılımcıları için geçerlidir. Bu SUH, VTN’nin e-Güven Altalanı ve e-Güven’in
VTN’yi destekleyen ana altyapısı için geçerlidir. Bu SUH, SP’de tarif edilen her üç sertifika
sınıfının, e-Güven Altalanında kullanımını düzenleyen, uygulamaları tarif eder. Her bir
Sertifika Sınıfı genelde SP § 1.3.4.1 ve SUH § 1.1.1’de (Tablo 2) belirtilen uygulama şekliyle
kullanım için uygundur. Bununla birlikte, sözleşmeyle veya belirli ortamlarda (örneğin, bir şirket
içi ortam) VTN Katılımcılarının SUH §§ 1.1.1, 1.3.4.1’de tarif edilenlerden daha yüksek
güvenlikli uygulamalar için Sertifikalar kullanmalarına izin verilir. Ancak, bu tip bir kullanım
- 15 -
bu tip kuruluşlarla sınırlıdır ve CPSSUH §§ 2.2.1.2, 2.2.2’de belirtilen hükümlere tabidir. Bu
kuruluşlar bu tip bir kullanımın yaratacağı sonuçlardan veya sebep olacağı yükümlülüklerin
yerine getirilmesinden müstakilen sorumludur.
1.3.4.1 Uygun Başvurular
Uygun başvurular için Bkz. SP § 1.3.4.1 ve SUH § 1.1.1 (Tablo 2). Bireysel Sertifikalar ve bazı
Kurumsal Sertifikalar İtimat Eden Tarafların dijital imzaları doğrulamasına izin verir. e-Güven
Altalanı Katılımcıları, bir elektronik mesaja ya da herhangi bir elektronik kayda VTN
Sertifikasıyla doğrulanabilen dijital imzanın eklenmesi durumunda yürürlükteki kanunların izin
verdiği sınırlar içerisinde, bu mesajın veya kaydın yazılı belgeyle aynı hukuki sonucu
doğuracağını ve aksi ispat edilene kadar taraflar arasında kesin, bağlayıcı ve münhasır delil
olarak ileri sürülebileceğini kabul ederler. Yürürlülükteki kanun hükümlerinin izin verdiği
ölçüde, herhangi bir VTN Sertifikası kullanılarak yaratılan herhangi bir dijital imza veya işlem,
VTN Sertifikasının düzenlendiği veya dijital imzanın yaratıldığı ya da kullanıldığı coğrafi yer ve
SO veya Abonenin faaliyet yerinin coğrafi konumu ne olursa olsun geçerli olacaktır.
1.3.4.2 Sınırlı Başvurular
Genel olarak, VTN Sertifikaları genel kullanım amaçlarına yönelik Sertifikalardır. VTN
Sertifikaları dünya çapında çeşitli İtimat Eden Taraflarla birlikte çalışmak için, küresel olarak
kullanılabilen sertifikalardır. Ancak kendi ortamlarında Sertifikalar kullanan Müşteriler bu
ortamlarda, Sertifikaların genel kullanım amaçlarını sınırlayabilir ve Sertifika kullanım
çerçevesine ek sınırlamalar getirererek sertifikaların kullanım alanını ve uygulamalarını kendileri
belirleyebilir. Bununla birlikte, e-Güven ve diğer e-Güven Altalanı katılımcıları bahsi geçen
ortamlarda yaratılan bu tip sınırlamaları ve uygulamaları izlemek veya uygulamakla sorumlu
değildir.
Bazı VTN Sertifikaları işlev açısından sınırlıdır. Örneğin, SO Sertifikaları SO işlevleri haricinde
bir işlev için kullanılamaz. Son kullanıcı Sertifikaları son kullanıcılar için işbu SUH’da veya
SO’lar tarafından özel olarak belirlenen işlemleri gerçekleştirme amaçlı kullanılabilirler ve bu tip
sertifikalar sunucu ya da kurumsal Sertifikalar olarak kullanılamazlar.. İlave olarak, cihazlar için
düzenlenen Sınıf 3 kurumsal sertifikaları işlev açısından, web sunucularıyla veya web trafik
yönetim cihazlarıyla (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri durumunda)
birlikte kullanım ile veya nesne imzalaması (nesne imzalama Sertifikaları durumunda) amacıyla
kullanımla sınırlıdır. Ayrıca, İdareci Sertifikaları sadece İdareci işlevlerini yerine getirmede
kullanılacaktır.
X.509 Versiyon 3 VTN Sertifikalarıyla ilgili olarak, anahtar kullanım ekinin amacı, bir
Sertifikadaki açık anahtara karşılık gelen kapalı anahtarın VTN’de kullanılabildiği teknik
amaçları sınırlamaktır. Bkz. SP § 6.1.9. Ayrıca, son kullanıcı Abone Sertifikaları SO Sertifikaları
olarak kullanılmayacaktır. Bu sınırlama, bir Temel Sınırlamalar eki olmamasıyla doğrulanır. Bkz.
SP § 7.1.2.4. Ancak, ekle getirilen sınırlamaların geçerliliği, e-Güven haricindeki kuruluşlarca
üretilen veya kontrol edilen yazılımın kullanımına tâbidir.
- 16 -
Daha genel olarak ele alırsak, Sertifikalar ancak işbu SUH, SO’ların belirlediği bir takım
prosedürler, cari kanunlar, ilgili ihracat ve ithalat mevzuatlarının izin verdiği sınırlar içerisinde
kullanılacaktır.
1.3.4.3 Yasaklanmış Başvurular
VTN Sertifikaları tehlikeli ortamlarda kontrol ekipmanı olarak kullanım veya tekrar satış için ya
da arızaların doğrudan ölüme, yaralanmaya veya ciddi çevresel hasara yol açabileceği nükleer
tesis işletimi, uçak seyir veya haberleşme sistemleri, hava trafik kontrol sistemleri veya silah
kontrol sistemleri gibi arıza güvenli işletim gerektiren kullanımlar için tasarlanmamış veya bu
kullanımlara izin verilmemiştir. Ayrıca, SUH § 1.3.4’e tâbi olarak, Sınıf 1 Sertifikaları kimlik
kanıtı olarak ya da kimliğin veya yetkinin reddinin önlenmesini desteklemek amacıyla
kullanılmayacaktır.
1.4
İrtibat Detayları
1.4.1 SUH’le ilgili Yetkili Kurum
Bu SUH’un idaresi e-Güven Uygulama Geliştirme grubunca yürütülmektedir. e-Güven’in
Uygulama Geliştirme grubuna iletilecek sorular için aşağıdaki adres kullanılmalıdır:
Vali Konağı cad. no:147/14 34365 Nişantaşı / İstanbul
Türkiye
Dikkatine: Uygulama Geliştirme – SUH
Santral: +90 212 296 8146
Faks: +90 212 296 8148
[email protected]
1.4.2 İrtibat Görevlisi
SUH’la ilgili sorularınızı [email protected] adresine veya aşağıdaki adrese iletiniz:
Vali Konağı cad. no:147/14 34365 Nişantaşı / İstanbul
Türkiye
- 17 -
Dikkatine: Uygulama Geliştirme – SUH
Santral: +90 212 296 8146
Faks: +90 212 296 8148
[email protected]
1.4.3 SUH’un Politikaya Uygunluğunu Belirleyen Kişi
SUH § 1.4.2’de tanımlanan kurum, bu SUH’un ve sertifika uygulama hükümleri gereği bu
SUH’u tamamlayan veya bu SUH kapsamındaki diğer dokümanların SP’ye ve bu SUH’a uygun
olup olmadığını belirlemekten sorumludur.
2. Genel Hükümler
2.1
Sorumluluklar
2.1.1 SO’nun Sorumlulukları
SO’lar işbu SUH içinde yer alan belirli sorumlulukları yerine getirir. SUH’un hükümleri her bir
SO kategorisinin sorumluluklarını belirtir. İş bu SUH içersinde yer alan SO katogorileri eGüven, Managed PKI Müşterileri ve ASB Müşterileridir.
e-Güven, diğer SO kategorisinde yer alan müşterilerinin kendi alt alanlarındaki taraflarla
imzalayacakları veya kabul edilmesini sağlayacakları Abonelik Anlaşmaları ve itimat Eden
Taraflar Anlaşmalarını e-Güven Altalanındaki Aboneleri ve İtimat Eden Tarafları bağlamasını
sağlamak için makul olarak gereken her türlü çabayı gösterir. Bunlar arasında, bir kayıt koşulu
olarak bir Abonelik Anlaşmasının onaylanmasını istemek ya da bir Sertifika durum bilgisi alma
koşulu olarak bir İtimat Eden Taraflar Anlaşmasını onaylanmasını istemek örnek olarak
sayılabilir; fakat örnekler bunlarla sınırlı değildir. Benzer şekilde, e-Güven’in müşterisi olan
SO’ların satış için yetkilendirdiği kurumların (e-Güven ile imzaladıkları sözleşme hükümlerine
uygun olmak koşuluyla) son kulacılarla imza edecekleri veya kabul edilmesini sağlayacakları
Abonelik Anlaşmalarını ve İtimat Eden Taraflar Anlaşmalarını e-Güven’in koyduğu şartlara göre
kullanmalıdır. VeriSign’ın ve e-Güven’in müşterisi olan SO’ların satış için yetkilendirdiği
kurumların kullandığı Abonelik Anlaşmalarını ve İtimat Eden Taraflar Anlaşmaları SUH
§§ 2.2-2.4 hükümlerini içermelidir.
Managed PKI Müşterileri, yapmaları istenmemiş olsa dahi, kendilerine özgü ve özel Abonelik
Anlaşmalarını kullanmalarına izin verilmiştir. Abonelik Anlaşmalarını kullanan Managed PKI
Müşterileri, anlaşmaya SP §§ 2.2-2.4 hükümlerini dahil etmelidir. Bir Managed PKI Müşterisi
veya e-Güven’in müşterisi olan SO’ların satış için yetkilendirdiği kurumların kendi Abonelik
Anlaşmasını kullanmazsa, e-Güven’in Abonelik Anlaşması geçerlidir. e-Güven’in müşterisi olan
SO’ların satış için yetkilendirdiği kurumların İtimat Eden Taraflar Anlaşması yoksa, e-Güven’in
İtimat Eden Taraflar Anlaşması geçerlidir.
- 18 -
2.1.2 KO’nun Sorumlulukları
KO’lar, bir İşlem Merkezi veya Servis Merkezi SO’sına, geçerlilik kontrol işlevlerini yerine
getirerek; Sertifika Başvurularını onaylayarak veya reddederek; Sertifikaların iptalini talep
ederek ve yenileme taleplerini onaylayarak destek olur. SUH’un hükümleri her bir KO
kategorisinin sorumluluklarını belirtir. İşbu SUH içersinde yer alan KO kategorileri Managed
PKI Lite Müşterileri, SSL için Managed PKI Müşterileri, SSL Premium Edition için Managed
PKI Müşterileri ve ASB sağlayıcı olarak e-Güven’dir.
Bir ASB Sağlayıcı olarak e-Güven, ayrıca, Abonelik Anlaşmalarının ve İtimat Eden Taraflar
Anlaşmalarının Aboneleri ve İtimat Eden Tarafları, ASB Müşterinsin Altalanlarında SUH
§ 2.1.1’e göre bağlamasını da sağlar. Diğer KO’ların böyle bir sorumluluğu yoktur.
2.1.3 Abone Sorumlulukları
SP’deki Abone sorumlulukları, bu SUH kullanılarak VeriSign’ın onayladığı Abonelik
Anlaşmaları vasıtasıyla uygulanır ve e-Güven Altalanındaki Aboneler için geçerlidir. e-Güven
Altalanında yürürlükte bulunan bazı Abonelik Anlaşmaları
http://www.e-guven.com/repository adresinde bulunabilir.
e-Güven Altalanında cari olan Abonelik Anlaşmaları, Sertifika Başvuru Sahiplerinin Sertifika
Başvurularında doğru ve eksiksiz bilgi verdiğini ve Sertifika almanın ön koşulu olarak
Abonelerin ilgili Abonelik Anlaşmasını kabul ettiğini göstermesi gerekmektedir.
Abonelik Anlaşmaları, SP ve SUH’de gösterilen belirli sorumlulukları e-Güven Altalanındaki
Abonelere uygular. Abonelik Anlaşmaları Abonelerin sertifikalarını SUH § 1.3.4’e göre
kullanmalarını gerektirir. Ayrıca, Abonelerin kapalı anahtarlarının SUH §§ 6.1-6.2, 6.4’e göre
korumalarını da gereklidir. İşbu SUH içersinde işaret edilen Abonelik Anlaşmaları hükümleri
dairesinde, bir Abone, kapalı Anahtarı veya bu kapalı anahtarı koruyan aktivasyon verileriyle
ilgili bir tehdit bulunduğu ya da Sertifikadaki bilgilerin yanlış veya değiştirilmiş olduğu yolunda
bir tespitte bulunur veya bu yönde bir şüpheye kapılır ise,derhal aşağıdaki eylemlerde
bulunmalıdır:
•
•
SUH § 4.4.1.1’ye göre, Abonenin Sertifika Başvurusunu onaylayan kuruluşa (bir SO veya
KO) bilgi vermeli ve SUH §§ 3.4, 4.4.3.1’e göre Sertifikanın iptalini talep etmeli ve
Abonenin Sertifikasıyla veya Abone Sertifikasına göre doğrulanabilir bir dijital imzayla
Abonenin işlem yapmasını veya servis sunmasını bekleyebileceği bir kişiye bilgi vermelidir.
Abonelik Anlaşmalarına göre, Abonelerin, SUH § 6.3.2 altında anahtar kullanım sürelerinin
sonunda özel anahtarlarının kullanımını durdurmalarını gerekmektedir. .
Abonelik Anlaşmaları, Abonelerin, VeriSign’ın ve e-Güven’in önceden yazılı onayı alınmadıkça
VTN’nin teknik uygulamasını izleyemeyeceğini, ona müdahale edemeyeceğini veya onun
üzerinde tersine mühendislik yapamayacağını ve VTN’nin güvenliğini bilerek tehlikeye
sokamayacağını belirtir.
- 19 -
2.1.4 İtimat Eden Tarafın Sorumlulukları
SP’de İtimat Eden Tarafın sorumlulukları işbu SUH’un hükümleri uyarınca işaret edilen eGüven’in İtimat Eden Taraf Anlaşmaları vasıtasıyla uygulanır. e-Güven’in İtimat Eden Taraflar
Anlaşması e-Güven Alt alanındaki itimat eden taraflar için geçerlidir. e-Güven Alta lanında
yürürlükte
bulunan
İtimat
Eden
Taraflar
Anlaşmasına
http://www.eguven.com/repository/rpa/index.html adresinden ulaşılabilir.
e-Güven Alt alanındaki İtimat Eden Taraflar Anlaşmaları herhangi bir işlemden önce İtimat
Eden Tarafın işlem sırasında kullanılan sertifikanın herhangi bir amaçla kullanımının
uygunluğunu bağımsız olarak değerlendirmesi gerektiğini belirtir ve sertifikanın ancak hukuka,
SUH’a, itimat eden taraflar anlaşmasına uygun bir amaç için kullanılacağını belirtir.. e-Güven,
SO’ların ve KO’ların bir Sertifikanın kullanımının uygunluğunun değerlendirilmesinden sorumlu
olmadığını belirtir. İtimat Eden Taraflar Anlaşmaları, Sertifika Kullanıcılarının ve İtimat Eden
Tarafların, Sertifikaları SUH § 1.3.4.2’deki sınırlamalar dışında ve SUH § 1.3.4.3’de yasak
olduğu belirtilmiş amaçlar için kullanmaması gerektiğini belirtir.
İtimat Eden Taraflar Anlaşmaları, ayrıca, İtimat Eden Tarafların, Sertifikalara dayanarak işlem
yapma koşulu olarak, dijital imzanın doğrulanmasını veya yapılmak istenen başka şifreleme
işlemlerini yerine getirmek için uygun yazılımı ve/veya donanımı kullanmaları gerektiğini
belirtir. Bu işlemler arasında bir sertifika zincirinin tanımlanması ve sertifika zincirindeki bütün
Sertifikalar üzerinde bulunan dijital imzaların doğrulanması sayılabilir. İtimat Eden Taraflar,
İtimat Eden Taraflar Anlaşmalarının hükümleri uyarınca doğrulama prosedürleri başarılı
olmadıkça bir Sertifikaya dayanarak işlem yapmamalıdır.
İtimat Eden Taraflar Anlaşmaları uyarınca İtimat Eden Tarafların ve Sertifika Kullanıcılarının
işlem yapmak için kullanmak istedikleri bir Sertifikanın durumunu kontrol etmelerinin yanında
sertifika zincirinde yer alan bütün Sertifikaların durumunu SUH §§ 4.4.10, 4.4.12’ye göre
kontrol etmelerini de gerekir. Sertifika zincirindeki Sertifikaların herhangi biri İtimat Eden
Taraflar Anlaşmaları veya Kullanıcı Sözleşmelerine (Abone Anlaşmaları) göre iptal edilmişse,
İtimat Eden Taraf, son kullanıcı Abone Sertifikasına veya Sertifika Zincirindeki başka iptal
edilmiş bir Sertifikaya dayanarak işlem yapmamalıdır.
Son olarak, İtimat Eden Taraflar Anlaşmalarından ilgili olanların İtimat Eden Taraflar tarafından
kabul edilmesi durumunda Sertifikaların kullanılması veya bunlara dayanarak işlem yapılması
halinde doğan ve doğabilecek her türlü sonucun bahsi geçen anlaşmaların hükümleri dairesinde
karara bağlanacağının İtimat Eden Taraflarca kabul edildiğini anlamına gelmektedir. ..Aynı
zamanda Abone (Sertifika Kullanıcısı) olan İtimat Eden Taraflar bu bölümde açıklananların
yanında, garanti sorumluluklarının reddi ve sorumluluğun sınırlandırılması bölümlerindeki İtimat
Eden Taraflar hükümlerinin de bağlayıcılığını kabul eder.
İtimat Eden Taraflar Anlaşmaları, yukarıda tarif edilen kontrollerin tümünün başarılı olması
durumunda, İtimat Eden Tarafın , ilgili koşullar altında hukuka ve ilgili sözleşmelere uygun
olması şartıyla Sertifikaya dayanarak işlem yapmaya yetkili olduğunu belirtir. Koşullar ilave
güvencelere ihtiyaç gösterdiği takdirde, İtimat Eden Taraf, yapılacak bu işlemin hukuka ve ilgili
sözleşmelere uygun olarak kabul edilebilmesi için güvence almalıdır.
- 20 -
İtimat Eden Taraflar Anlaşmaları, İtimat Eden Tarafların, VeriSign’ın ve e-Güven’in önceden
yazılı onayı alınmadıkça VTN’nin teknik uygulamasını izleyemeyeceğini, ona müdahale
edemeyeceğini veya onun üzerinde tersine mühendislik yapamayacağını ve VTN’nin güvenliğini
bilerek tehlikeye sokamayacağını belirtir.
2.1.5 Veri Depolama Sorumlulukları
e-Güven, kendi SO’larının ve Managed PKI Müşterileri ile ASB Müşterilerinin SO’larının veri
depolama işlevlerinden sorumludur. e-Güven düzenlediği Sertifikaları Tablo 5’de belirtilen veri
bankasında SUH § 2.6’ya göre yayınlar.
SO
Bütün e-Güven CA’ları
Managed PKI Müşterisi veya
e-Güven ASB Müşterisi
SO Adına Sertifika
Düzenleyen Kuruluş
e-Güven
e-Güven
İlgili Veri Bankası
e-Güven Veri Bankası
Tablo 5 – SO Tipine Göre İlgili Veri Bankaları
Bir son kullanıcı Abonenin Sertifikasının iptaliyle, e-Güven bu iptali Tablo 5’de belirtilen veri
bankasında yayınlar. e-Güven, kendi SO’ları ve Altalanındaki Servis Merkezleri, Managed PKI
Müşterileri ve ASB Müşterileri SO’ları için SUH §§ 2.6, 4.4.9, 4.4.11’e göre CRL’ler düzenler.
Ayrıca, e-Güven, Çevrim İçi Sertifika Durum Protokolü (“OCSP”) servisleri için sözleşme
yapmış Managed PKI Müşterileri için SUH §§ 2.6, 4.4.9, 4.4.11’e göre OCSP servisleri sunar.
2.2
Sorumluluk
2.2.1 Sertifika Otoritesinin Sorumlulukları
e-Güven,e-Güven’in Altalanındaki ilgili SO’lar, e-Güven ve e-Güven’in Alt alanındaki ilgili
SO’ların müşterileri arasındaki garantiler, garanti sorumluluklarından muaf tutulma
(sorumsuzluk kayıtları) ve sorumluluğun sınırlandırılması, bunlar arasında yapılan anlaşmalarda
belirtilir ve bahsi geçen anlaşmalarla düzenlenir. Bu SUH § 2.2.1, sadece, belirli SO’ların (eGüven ve Managed PKI Müşterileri) İtimat Eden Taraflarına ve bunlardan Sertifika alan son
kullanıcı Abonelere vermek zorunda olduğu garantiler ve bu Aboneler ve İtimat Eden Taraflar
için uygulayacakları garanti, sorumsuzluk kayıtları ve sorumluluğun sınırlamasıyla ilgilidir. ASB
Müşterileri bütün ön uç ve arka uç işlevlerini ASB Sağlayıcıdan temin ettiğinden bu bölümün
garanti şartları ASB Müşterileri için geçerli değildir.
e-Güven ve e-Güven’in yetkili satıcıları gerektiğinde Abonelik Anlaşmalarını ve İtimat Eden
Taraflar Analşamalarını SUH § 2.1.1’e göre kullanır. Managed PKI Müşterileri, e-Güven ile
ararlarında imzalanan sözleşmede akisne bir hüküm belirtilmemiş ise Abonelik Anlaşmasını
kullanma veya kullanmama seçeneğine sahiptir. Bahsi geçen SO’lar ve müşteriler tarafından
kullanılan Abonelik Anlaşmaları e-Güven’in koyduğu şartları karşılamalıdır. Abonelik
Anlaşmaları için aşağıda belirtilen garantiler, sorumsuzluk kayıtları ve sorumluluğun
sınırlandırılması kayıtları , Abonelik Anlaşmalarını kullanan Managed PKI Müşterileri ve e- 21 -
Güven’in temsilcileri için geçerlidir. e-Güven kendi Abonelik Anlaşmalarında da bu şartlara
bağlı kalır. e-Güven’in İtimat Eden Taraflar Anlaşmalarında garantiler, sorumsuzluk kayıtları ve
sorumluluğun sınırlandırılmasıyla ilgili hükümler Managed PKI Müşterileri ve e-Güven’in
temsilcileri için de geçerlidir. Aboneler genelde İtimat Eden Taraf olarak da hareket ettiğinden,
İtimat Eden Taraflar için geçerli hükümlerin, İtimat Eden Taraflar Anlaşmalarına ilave olarak
Abonelik Anlaşmalarına da dahil edileceğine dikkat edilmelidir.
2.2.1.1 Aboneler ve İtimat Eden Taraflar için Sertifika Otoritesi Garantileri
Abonelere verilen aşağıdaki garantiler e-Güven’in Abonelik Anlaşmalarına dahil edilmiştir ve
diğer Abonelik Anlaşmalarına da dahil edilecektir:
•
•
•
•
Sertifika içersinde yer alan bir bilgiyle ilgili olarak, Sertifika Başvurusunu onaylayan veya
Sertifikayı düzenleyen kuruluşlarca bilinen veya onlardan kaynaklanan bir maddi hata
bulunmaması.
Sertifikada, Sertifika Başvurusunu onaylayan veya Sertifikayı düzenleyen kuruluşlarca dahil
edilmiş bilgilerde, Sertifika Başvurusunun yönetiminde veya Sertifikanın hazırlanmasında
makul özenin gösterilmemesinden kaynaklanan bir hata bulunmaması.
Sertifikalarının bu SUH’un bütün esaslı şartlarını karşılaması.
İptal servislerinin ve bir veri bankasının kullanımının maddi açılardan bu SUH’a uygun
olması.
e-Güven’in İtimat Eden Taraflar Anlaşmaları, bir Sertifikaya dayanarak işlem yapan bütün İtimat
Eden Taraflara ve Sertifika Kullanıcılarına aşağıdaki garantileri verir:
•
•
•
Doğrulanmamış Abone Bilgisi hariç olmak üzere bu Sertifikada yer alan veya referans olarak
dahil edilmiş bütün bilgilerin doğru olması.
Sertifikaların e-Güven veri bankasında görülmesi durumunda, Sertifikanın, üzerinde Abone
olarak belirtilen birey veya kurum için düzenlenmiş ve Abonenin SUH § 4.3’e göre
Sertifikayı kabul etmiş olması.
Sertifika Başvurusunu onaylayan ve Sertifikayı düzenleyen kuruluşların, Sertifikanın
düzenlenmesi sırasında temelde bu SUH’a uygun hareket etmesi.
2.2.1.2 Sertifika Otoritesi Sorumsuzluk Kaydı
e-Güven SO sıfatıyla, cari kanunların izin verdiği sınırlar ve e-Güven Altalanında yer alan
müşterileriyle akdettiği sözleşmelerin hükümleri dairesinde, bu müşterilerin SO yetkilerini
kullanarak akdettiği üçüncü kişi sözleşmelerinden, itimat eden tarafların, üçüncü kişilerin ve
sertifika kullanıcılarının fiillerinden doğan ve doğabilecek her türlü zarar ve uyuşmazlıkla ilgili
herhangi bir tararf sıfatı ve sorumluluğu bulunmamaktadır. İşbu sorumsuzluk kaydı yalnızca eGüven için geçerlidir..
2.2.1.3 Sertifika Otoritesinin Sorumluluğunun Sınırlandırılması
e-Güven SO sıfatıyla, cari kanunların izin verdiği sınırlar ve e-Güven Altalanında yer alan
müşterileriyle akdettiği sözleşmelerin hükümleri dairesinde, e-Güven’in Abonelik Anlaşmaları
ve İtimat Eden Taraflar Anlaşmaları, e-Güven’in sorumluluğunu
sınırlandırır ve ileride
- 22 -
yapılacak Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarında da bu sınırlamalar
bulunacaktır. İşbu madde içersinde anılan sorumluluğun sınırlandırılması hükmü , her türlü
dolaylı, arizi, yansıma ve özel nitelikli zararla ilgili sorumsuzluk kaydını da içerir. Sorumluğun
sınırlandırılmasıyla ilgi bu hüküm, ayrıca, e-Güven’in belirli bir Sertifikayla ilgili doğan ve
doğabilecek tüz uyuşmazlıklarla ilgili sorumluluğunun üst limitini de belirler. İşbu sorumluluğun
sınırlandırılmasıyla ilgili hüküm yalnızca e-Güven için geçerlidir..
Sınıf
Sınıf 1
Sınıf 2
Sınıf 3
Sorumluluk Üst Sınırları
Yüz ABD Doları (USD 100,00)
Beş Bin ABD Doları (USD 5.000,00)
Yüz Bin ABD Doları (USD 100.000,00)
Tablo 6 – Sorumluluk Üst Sınırları
2.2.1.4 Mücbir Sebep
Cari kanunların ve ilgili mevzuat hükümlerinin izin verdiği sınırlar içerisinde, e-Güven’in
Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarına bir mücbir sebep maddesi dahil
edilmiştir. İleride e-Güven tarafından yapılacak Abonelik Anlaşmalarına ve İtimat Eden Taraflar
Anlaşmalarına da cari kanunların ve ilgili mevzuat hükümlerinin izin verdiği sınırlar içerisinde
Mücbir Sebep üst başlığını taşıyan bir madde dahil edilecektir.
2.2.2 Kayıt Otoritesinin Sorumluluğu
Bir KO ile Sertifika düzenlemede ona yardımcı olan SO ya da ilgili birimi arasındaki garantiler,
sorumsuzluk kayıtları ve sorumlululuğun sınırlandırılması hükümleri,, sayıla sujeler arasında
yapılan anlaşmalarda belirtilir ve bu anlaşmalarla düzenlenir. e-Güven, bir ASB Sağlayıcı KO
olarak, kendisine ait garantileri, sorumsuzluk kayıtları ve sınırlamalarını Abonelik Anlaşmaları
ve İtimat Eden Taraflar Anlaşmaları hükümlerine ve SUH §§ 2.1.1-2.1.2’ye göre kullanır.
Managed PKI Lite Müşterileri, SSL için Managed PKI Müşterileri ve SSL Premium Edition için
Managed PKI Müşterileri, Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarını
kullanamaz. Bu nedenle, işbu bölümde açıklanan uygulamalar bahsi geçen tararflar için geçerli
değildir. Bunun yerine e-Güven’in Abonelik Anlaşması geçerli olur.
e-Güven, ASB Müşterisi SO’ları adına, SUH §§ 2.2.1.1-2.2.1.4’de belirtilen garantileri,
sorumsuzluk kayıtları, sorumluluk sınırlamalarını ve mücbir sebep maddelerini Abonelik
Anlaşmalarına ve İtimat Eden Taraflar Anlaşmalarına dahil eder.
2.2.3 Abonenin Sorumluluğu
2.2.3.1 Abonenin Vereceği Garantiler
e-Güven’in Abonelik Anlaşmaları Abonelerin aşağıdaki garantileri vermesini gerektirir:
- 23 -
•
•
•
•
•
•
Sertifikada listelenen açık anahtara karşılık gelen kapalı anahtar kullanılarak yaratılan her bir
dijital imzanın Abonenin dijital imzası olması ve dijital imzanın yaratıldığı zaman
Sertifikanın kabul edilmiş ve yürürlükte (süresinin dolmamış veya iptal edilmemiş) olması.
Abonenin kapalı anahtarına şimdiye kadar hiçbir yetkisiz şahsın erişmemiş olması.
Abonenin yaptığı Sertifika Başvurusunda Abonenin verdiği bütün bilgi ve belgelerin doğru
olması.
Abonenin verdiği ve Sertifikada yer alan bütün bilgilerin doğru olması.
Sertifikanın, sadece, bu SUH’a, abonelik sözleşmesine ve hukuka uygun amaçlarla
kullanılıyor olması.
Abonenin bir SO değil son kullanıcı Abone olması ve bir herhangi bir Sertifikayı (veya başka
herhangi bir onaylanmış açık anahtar formatını) ya da CRL’yi bir SO yetkisiyle veya başka
bir yetkiyle dijital olarak imzalamak maksadıyla Sertifikada listelenen herhangi bir açık
anahtara karşılık gelen kapalı anahtarın kullanıyor olmaması.
Diğer Abonelik Anlaşmaları da bu şartları içerecektir.
Bununla birlikte, bir Abonenin Sertifika Başvurusunun bir Managed PKI Müşterisince Managed
PKI Key Manager sunumu kullanılarak onaylanması durumunda, Abone, sadece, kendi
donanım/yazılım platformundaki Abone kapalı anahtarının kopyasına daha önce hiçbir yetkisiz
kişinin erişmediğini garanti eder. Bu Aboneler, kapalı anahtarın, Managed PKI Key Manager’ı
kullanan Managed PKI Müşterilerinin sahip olduğu kopyalarıyla ilgili garanti vermez.
2.2.3.2 Kapalı Anahtarın Korunması
SP, Abonelik Anlaşmalarına SUH § 6.2.7.1’e göre dahil edilen kapalı anahtarların korunması
için VTN Standartlarını belirler. Abonelik Anlaşmaları, bu VTN Standartlarını karşılamayan
Abonelerin bundan kaynaklanan kayıp veya hasardan tek başına sorumlu olduğunu belirtir.
2.2.4 İtimat Eden Tarafların Sorumluluğu
Abonelik Anlaşmaları ve İtimat Eden Taraf Anlaşmaları, İtimat Eden Tarafların, işlem yapmak
için bir Sertifikada yer alan bilgileri ne ölçüde esas alacakları konusunda karar almak için yeterli
bilgiye sahip olduklarını, bu bilgileri kullanıp kullanmama konusunda karar vermekten tek
başlarına sorumlu olduklarını ve SUH § 2.1.4’deki İtimat Eden Tarafın sorumluluklarını yerine
getirmedikleri takdirde bunun yasal sonuçlarına katlanacaklarını kabul etmelerini gerektirir.
2.3
Mali Sorumluluk
2.3.1 Abonelerin ve İtimat Eden Tarafların Ödeyecekleri Tazminat
2.3.1.1 Abonelerin Ödeyecekleri Tazminat
Yürürlükte olan mevzuatın ve e-Güven Alt alanında akdedilen sözleşmelerin izin verdiği sınırlar
içerisinde, e-Güven’in Abonelik Anlaşması, aşağıdaki durumlarda Abonelerin e-Güven’in ve
- 24 -
onun alt alanında bulunan SO’ların veya KO’ların zararını tazmin etmesi şartını içerir ve ileride
yapılacak Abonelik Anlaşmaları da bu şartı içerecektir:
•
•
•
Abonenin Sertifika Başvurusunda herhangi bir durumu, bilgiyi veya belgeyi kasten veya
ihmali olarak hatalı olarak bildirmesi.
Abonenin kapalı anahtarı korumaması, güvenilir sistemler kullanmaması veya Abonenin
kapalı anahtarının tehdit altında olması, kaybı, ifşa edilmesi, değiştirilmesi, üçüncü kişiler
tarafından erişimi veya yetkisiz kullanımını önlemek için gereken diğer önlemleri almaması.
Abonenin bir üçüncü şahsın Fikri Mülkiyet veya Kişilik Haklarını ihlal eden bir ad (ortak bir
ad, alan adı veya e-posta adresi de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla)
kullanması.
2.3.1.2 İtimat Eden Tarafların Ödeyecekleri Tazminat
Yürürlükte olan mevzuatın ve e-Güven Alt alanında akdedilen sözleşmelerin izin verdiği sınırlar
içerisinde, e-Güven’in Abonelik Anlaşması, aşağıdaki durumlarda İtimat Eden Tarafların eGüven’in ve onun alt alanında bulunan SO’ların veya KO’ların zararını tazmin etmesi şartını
içerir ve ileride yapılacak İtimat Eden Taraflar Anlaşmaları da bu şartı içerecektir:
•
•
•
İtimat Eden Tarafın, İtimat Eden Tarafa sözleşme veya kanunla yüklenen sorumluluğunu
yerine getirmemesi
İtimat Eden Tarafın, mevcut koşullarda gerekli özeni göstermeyerek geçerli olmayan bir
Sertifikaya dayanarak işlem yapması.
İtimat Eden Tarafın bir Sertifikanın süresinin dolup dolmadığını veya iptal edilip
edilmediğini belirlemek için bu Sertifikanın durumunu kontrol etmemesi.
2.3.2 Güvene Dayalı İlişki
Bir tarafta e-Güven veya onun alt alanında yer alan ve e-Güven’in mülkiyetinde olmayan bir SO
ya da KO ile diğer tarafta bir Abone veya İtimat Eden Taraflar arasında kurulan ilişki Yürürlükte
olan mevzuatın ve e-Güven Alt alanında akdedilen sözleşmelerin izin verdiği sınırlar içerisinde
güvene dayalı bir ilişkidir. Bu ilişkinin niteliği, kural ve koşulları yürürlükte olan mevzuatın ve
e-Güven Alt alanında akdedilen sözleşmeler ile belirlenir.
2.3.3 İdari Süreçler
Managed PKI Müşterileri operasyonlarını yürütebilmek ve görevlerini yerine getirebilmek için
yeterli mali kaynaklara sahip olacak ve Aboneler ile İtimat Eden Taraflara karşı olan
sorumluluklarının risklerini taşıyabilecek durumda olacaktır. Managed PKI Müşterileri, ayrıca,
hata ve ihmallere karşı ticari açıdan makul düzeyde bir sigorta teminatına sahip olacak ve bu
teminatı ya kendi içlerinde oluşturdukları bir fonla, ya da bir sigorta şirketleriyle yaptıkları
anlaşma gereğince hata ve ihmallere karşı oluşabilecek riskleri kapsayan bir sigorta programıyla
sağlayacaktır. Bu sigorta koşulu devlet daireleri ve resmi kuruluşlar için geçerli değildir. eGüven, hata ve ihmallere karşı kendi içinde bir sigorta teminatı sistemine sahiptir.
- 25 -
2.4
Yorumlama ve Uygulama Kanunları
2.4.1 Uygulanacak Hukuk
İşbu SUH’nin uygulanması, oluşturulması, yorumlanması ve geçerlilik süresi, sözleşmeden veya
diğer kanunlar ihtilafı maddelerinden bağımsız olarak (Türk Hukuknda Kanunlar İhtilafının
Düzenleyen Mevzuat da Dahil Olmak Üzere); Türkiye’de bir ticari bağlantı kurma şartına bağlı
olmadan Türk Hukukuna tâbi olacak ve Türk Hukukuna göre uygulanacak ve yorumlanacaktır.
Uygulanacak hukukukla ilgili yapılan bu seçiminin amacı, nerede bulunursa bulunsun bütün eGüven Altalanı Katılımcıları için tekdüzen prosedürler oluşturulması ve yorumlama yapılmasını
sağlamaktır. İşbu madde ile uygulanacak hukukun seçimi sözleşmenin yabancılık unsuru
kazanmasını sağlamaz.
İşbu madde ile belirlenen ve tespit edilen hukuki durum ve sonuçlar sadece bu SUH için
geçerlidir. SUH’a atıfta bulunulan anlaşmalarda uygulanacak hukuk maddeleri diğer anlaşmalara
göre farklı olabilir; ancak bu durumda, uygulanacak hukukta belirtilen sınırlamalar geçerli olmak
üzere (Kanunlar İhtilafı Kuralları Hariç Olmak Üzere), işbu anlaşmaların diğer hükümlerinden
ayrı olarak bu SUH’nin hükümlerinin uygulanabilirliği, oluşturulması, yorumlanması ve
geçerlilik süresi SUH § 2.4.1’e göre düzenlenmiş olacaktır.
İşbu SUH, yazılım, donanım veya teknik bilgilerin ihracı veya ithaliyle ilgili sınırlamalar da
dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla Türk Hukukuna tâbidir.
2.4.2 Bölünebilirlik, Post – Contractus Hükümler, , Bütünlük, İhbar
e-Güven’in Abonelik Anlaşmaları ve İtimat Eden Taraflar Anlaşmaları bölünebilirlik, postcontractus hükümler, bütünlük ve ihbar hükümleri içerir ve ileride yapılacak Abonelik
Anlaşmaları da bu hükümleri içerecektir. Bir anlaşmadaki bölünebilirlik hükmü, anlaşmadaki bir
maddenin geçerliliğinin veya uygulanabilirliğinin sona erdiği yönünde yapılan bir tespitin
anlaşmanın diğer hükümlerinin de geçersiz olmasını önler. Post – Contractus Hükümler, anlaşma
feshedilmesine veya sona ermesine rağmen yürürlükte kalacak hükümleri belirtir. Bütünlük
hükmü, anlaşmanın konusuyla ilgili tüm mutabakatın anlaşmaya dahil edildiğini belirtir. Bir
anlaşmadaki ihbar hükmü, tarafların birbirlerine nasıl ihbarda bulunacağını belirtir.
2.4.3 Uyuşmazlıkların Çözüm Yolları
2.4.3.1 e-Güven ile Müşteriler Arasındaki İhtilaflar
e-Güven ile onun Müşterilerinden biri arasındaki çıkan ve çıkabilecek ihtilaflar, taraflar arasında
yapılan ilgili anlaşmanın hükümlerine göre çözülecektir.
2.4.3.2 Son Kullanıcı Abonelerle ve İtimat Eden Taraflar Arasındaki İhtilaflar
Yürürlükte olan mevzuatın izin verdiği sınırlar içerisinde, e-Güven’in Abonelik Anlaşmaları ve
İtimat Eden Taraflar Anlaşmaları uyuşmazlıkların çözümüne yönelik bir hükmü içerir ve ileride
yapılacak Abonelik Anlaşmaları da bu hükmü içerecektir.
- 26 -
2.5
Ücretler
2.5.1 Sertifika Düzenleme veya Yenileme Ücretleri
e-Güven ve Müşteriler, Sertifikaların düzenlenmesi, yönetimi ve yenilenmesi için son kullanıcı
Abonelere ücret tahakkuk ettirmeye yetkilidir.
2.5.2 Sertifika Erişim Ücretleri
e-Güven ve Müşteriler, bir Sertifikanın veritabanından sorgulanmasını veya başka herhangi bir
şekilde İtimat Eden Tarafların kullanımına sunulmasının bir koşulu olarak herhangi bir ücret
tahakkuk ettirmez.
2.5.3 İptal veya Durum Bilgisi Erişim Ücretleri
e-Güven, SUH § 4.4.9’un öngördüğü CRL’lerin bir veritabanından sorgulanmasının veya başka
herhangi bir şekilde İtimat Eden Tarafların kullanımına sunulmasının bir koşulu olarak bir ücret
tahakkuk ettirmez. Ancak, e-Güven, kişiselleştirilmiş CRL’ler, OCSP servisleri veya diğer katma
değerli iptal ve durum bilgisi servisleri için ücret tahakkuk ettirir. e-Güven, kendisinin önceden
açık yazılı izni olmadan Sertifika durum bilgisinden yararlanarak ürünler veya hizmetler sunan
üçüncü şahısların veri tabanlarında bulunan iptal bilgisine, Sertifika durum bilgisine veya zaman
damgası bilgisine veya hizmetine erişime izin vermez.
2.5.4 Politika Bilgisi Gibi Diğer Servislerin Ücretleri
e-Güven,SP’ye veya bu SUH’a erişim için bir ücret tahakkuk ettirmez. Çoğaltma, başkalarına
dağıtma, değişiklik veya işleme gibi dokümanın inceleme haricindeki amaçlarla kullanımı,
dokümanın telif hakkını elinde bulunduran kuruluşla yapılan lisans anlaşmasına tâbidir.
2.5.5 Geri Ödeme Politikası
e-Güven
Alt
alanında,
aşağıdaki
geri
ödeme
politikası
(http://www.eguven.com/repository/refund/ adresinden bir kopyası temin edilebilir) yürürlüktedir:
e-Güven, sertifikalandırma işlemlerinin yapılmasında ve sertifikaların
düzenlenmesinde sıkı uygulamalara ve politikalara bağlı kalır. Bununla birlikte,
herhangi bir sebeple bir abone kendisine verilen sertifikadan tam tatmin olmazsa,
sertifikanın düzenlenmesinden itibaren otuz (30) gün içinde e-Güven’in sertifikayı
iptal etmesini ve ödediği paranın kendisine iade edilmesini isteyebilir. İlk otuz
(30) günlük periyodun bitiminden sonra, e-Güven, aboneyle veya abonenin
sertifikasıyla ilgili olarak bu SUH altında taahhüt edilen herhangi bir hususu veya
başka bir asli sorumluluğunu yerine getirmemişse, bir abone, e-Güven’in
sertifikayı iptal etmesini ve ödediği paranın kendisine iade edilmesini isteyebilir.
e-Güven’in abonenin sertifikasını iptal etmesinin ardından, e-Güven, sertifika için
- 27 -
ödenen ücretlerin tamamını derhal abonenin kredi kartı hesabına alacaklandırır ya
da aboneye çekle geri ödeme yapar veya abonenin bildirdiği banka hesabına EFT
veya havale ile ödemede bulunur. Bir geri ödeme talebi için e-Güven tarafından
web sitesinden ilan edilecek olan müşteri servisleri hizmetlerini arayınız. İşbu
madde hükmü içersinde açıklanan geri ödeme politikası sertifikalarla ilgili
gelebilecek şikayetlerle ilgili tek çözüm değildir ve abonelere sunulabilecek diğer
çözümlere sınırlama getirmez. İşbu madde hükmü yalnızca e-Güven’e doğrudan
başvurarak sertifika alma talebinde bulunan son kullanıcılar için geçerlidir.
2.6
Yayınlama ve Veri Depolama
2.6.1 SO Bilgisinin Yayınlanması
VeriSign ve e-Güven aşağıdakiler için veri depolama işlevinden sorumludur:
•
•
•
VeriSign’ın Ana Sertifikalandırma Otoriteleri (PCA’lar) ve VTN’yi destekleyen VeriSign
Altyapı/İdari SO’ları
e-Güven, e-Güven’in Altyapısı, İdari SO’ları için veri depolama işlevinden sorumludur
e-Güven, VTN’nin e-Güven Altalanında Sertifikalar düzenleyen e-Güven SO’ları, Managed
PKI Müşterileri SO’ları ve ASB Müşterileri SO’ları için veri depolama işlevinden
sorumludur.
e-Güven, http://www.e-guven.com/repository/ adresindeki web sitesinin veri bankası bölümünde
belirli SO bilgilerini aşağıda tarif edildiği gibi yayınlar.
e-Güven, web sitesinin veri bankası bölümünde VeriSign VTN SP, bu SUH, Abonelik
Anlaşmaları ve İtimat Eden Taraflar Anlaşmalarını yayınlar.
e-Güven, Sertifikaları aşağıdaki Tablo 7’ye göre yayınlar.
Sertifika Tipi
Ana SO Sertifikalarını
Düzenleyen VeriSign
PCA ve VeriSign
SO Sertifikaları
Düzenleyen e-Güven
Managed PKI Lite
Sertifikalarını
Destekleyen e-Güven
SO’sının Sertifikası ve
Managed PKI
Müşterilerinin SO
Sertifikaları
Yayın Şartları
Aşağıda tarif edilen sorgulama işlevleri kullanılarak son kullanıcı
Abone Sertifikasıyla temin edilebilecek bir Sertifika Zincirinin bir
parçası olarak ve güncel tarama yazılımına dahil edilerek İtimat
Eden Taraflarca kullanılabilir.
Aşağıda tarif edilen sorgulama işlevleri kullanılarak son kullanıcı
Abone Sertifikasıyla temin edilebilecek bir Sertifika Zincirinin bir
parçası olarak İtimat Eden Taraflarca kullanılabilir.
“directory.e-guven.com” adresindeki e-Güven LDAP dizin
sunucusu sorgulanarak kullanılabilir.
- 28 -
Sertifika Tipi
VeriSign OCSP
Cevaplandırma Ünitesi
Sertifikaları
Son Kullanıcı Abone
Sertifikaları
Yayın Şartları
“directory.e-guven.com” adresindeki E-Güven LDAP dizin
sunucusu sorgulanarak kullanılabilir.
Aşağıdaki adreste bulunan e-Güven veri tabanındaki sorgulama
işlevleri vasıtasıyla işlem taraflarınca kullanılabilir:
• https://digitalid.e-guven.com/repository
“directory.verisign.com” adresindeki VeriSign LDAP dizin
sunucusu sorgulanarak da kullanılabilir.
Managed PKI Müşterileri Takdir hakkı Managed PKI Müşterisinde olmak üzere, Sertifikaya,
Vasıtasıyla Düzenlenen
sadece, Sertifikanın seri numarası kullanılarak bir tarama yapmak
suretiyle erişilebilmesine rağmen, yukarıda listelenen sorgulama
Sertifikaları
işlevleriyle kullanılabilir.
Tablo 7 – Sertifika Yayın Şartları
e-Güven, SUH § 4.4.11’e göre Sertifika durum bilgisi yayınlar.
2.6.2 Yayınlama Sıklığı
Bu SUH’de yapılan güncellemeler SUH § 8’e göre yayınlanır. Abonelik Anlaşmaları ve İtimat
Eden Taraflar Anlaşmaları gerekli görülen hallerde yayınlanır. Sertifikalar düzenlendikleri
tarihte yayınlanır. Sertifika durum bilgisi SUH §§ 4.4.9 ve 4.4.11’e göre yayınlanır.
2.6.3 Erişim Kontrolleri
e-Güven web sitesinin veri tabanı kullanılarak yayınlanan bilgiler herkese açık bilgilerdir. Bu
bilgilere salt okunur erişim sınırsızdır. e-Güven, Sertifikalara, Sertifika durum bilgisine veya
CRL’lere erişim koşulu olarak bir İtimat Eden Taraflar Anlaşması veya CRL Kullanım
Anlaşmasının kabul edilmesini öngörür. e-Güven, yetkisiz kişilerin veri tabanına yetkisiz şekilde
erişerek çeşitli ekleme, silme veya değişiklik yapmasını önlemek için lojik ve fiziksel güvenlik
önlemleri almıştır.
2.6.4 Veri Bankaları (Tabanları)
Bkz. SUH § 2.1.5.
2.7
Uygunluk Denetimi
e-Güven’in genel ve Managed PKI SO servislerini destekleyen veri merkezi operasyonları ve
anahtar yönetimi operasyonları için yılda bir kez SAS 70 Tip II veya denk bir denetim yapılır.
Ayrıca, SUH § 1.3.1’de belirtilen VTN Ana SO’ları, Sınıf 3 Kurumsal SO’ları, Sınıf 2 Kurumsal
ve Bireysel SO’ları ve Sınıf 1 Bireysel SO’ları için yıllık “Sertifika Otoriteleri için WebTrust”
incelemesi yapılır. Müşteri gerekli görmedikçe Müşteriye özel SO’lar üzerinde e-Güven
operasyonlarıyla ilgili denetiminin bir parçası olarak denetim yapılmaz. e-Güven, bu SUH § 2.7
- 29 -
ve bu tip Müşteriler için hazırlanmış denetim programları altında, Managed PKI Müşterilerinin
bir uygunluk denetimine tâbi tutulmasını istemeye yetkilidir.
e-Güven, uygunluk denetimlerine ilave olarak, VTN’nin e-Güven Alt alanının güvenilirliğini
sağlamak için aşağıdakiler de dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla başka
inceleme ve araştırmalar yapmaya yetkili olacaktır:
•
•
e-Güven veya onun yetkili temsilcisi, denetlenen kuruluşun, VTN’nin güvenliğini veya
bütünlüğünü tehlikeye sokabilecek gerçek veya potansiyel bir tehdit oluşturabilecek düzeyde
VTN Standartlarını karşılamadığı, bu yönde bir olay veya tehditle karşılaştığı ya da buna
zemin oluşturacak şekilde hareket ettiği veya gerekeni yapmadığıyla ilgili kanaatini
oluşturacak bir sebep gördüğü takdirde, e-Güven veya onun yetkili temsilcisi, takdir hakkı
kendisinde olmak üzere, kendisi veya bir Müşterisi üzerinde herhangi bir zamanda “Acil
Denetim/Araştırma” yapmaya yetkili olacaktır.
e-Güven veya onun yetkili temsilcisi, bir Uygunluk Denetiminde hata veya eksiklik
bulgularının ardından ya da normal faaliyetleri içerisinde genel risk yönetimi sürecinin bir
parçası olarak kendisi veya bir Müşterisi üzerinde “Ek Risk Yönetimi İncelemeleri” yapmaya
yetkili olacaktır.
e-Güven veya onun yetkili temsilcisi, bu denetimleri, incelemeleri ve araştırmaları yerine
getirme görevini bir üçüncü şahıs denetim firmasına yaptırma konusunda yetkilidir..
2.7.1 Kuruluş Uygunluk Denetiminin Sıklığı
Uygunluk denetimleri, masrafları denetlenen kuruluşça karşılanmak üzere yıllık esasta yapılır.
2.7.2 Denetçinin Kimliği/Nitelikleri
e-Güven’in SO uygunluk denetimleri aşağıdaki özelliklere sahip bir muhasebe ve denetim
firması tarafından yapılır:
•
•
Açık Anahtar Alt Yapısı teknolojisinde, bilgi güvenliği araç ve tekniklerinde, güvenlik
denetimlerinde ve bağımsız üçüncü kişi denetimi işlerinde uzman olması.
Belirli becerilere sahip olduğu, kendisiyle aynı uzmanlık grubunda yer alan ve hiyerarşik
olarak eşdeğer düzeydeki kişilerce yapılan inceleme, uzmanlık testi, personelin görevlere
uygun şekilde tahsisiyle ilgili standartlar ve sürekli mesleki eğitim şartları gibi kalite güvence
ve yeterlilik niteliklerine sahip olduğu Amerikan Onaylı Muhasebeciler Enstitüsü (AISPA)
veya Türkiye’de bu tür akreditasyona yetkili bir kuruluşça onaylanmış olması.
2.7.3 Denetçinin Denetlenen Tarafla İlişkisi
e-Güven’in operasyonlarının uygunluk denetimleri e-Güven’den bağımsız bir muhasebe ve
denetim firmasınca yapılır.
- 30 -
2.7.4 Denetim Kapsamındaki Konular.
e-Güven’in yıllık SAS 70 Tip II denetimi veya bu denetimle aynı çerçevedeki bir denetim, SO
çevresel kontrollerini, anahtar yönetimi işlemlerini ve Altyapı/İdari SO kontrollerini kapsar.
2.7.5 Bir Eksiklik İçin Alınan Önlemler
e-Güven’in operasyonlarının uygunluk denetimiyle ilgili olarak, Uygunluk Denetimi sırasında
belirlenen önemli hatalar ve eksiklikler sonucu alınacak önlemler tespit edilir. Bu tespit, e-Güven
yönetimince ve denetçinin verdiği bilgiler doğrultusunda yapılır. e-Güven bir düzeltici eylem
planı geliştirmekten ve uygulamaktan sorumludur. e-Güven, bu hata ve eksikliklerin VTN’nin
güvenliği veya bütünlüğü üzerinde bir tehdit oluşturduğunu tespit ederse, 30 gün içinde bir
düzeltici eylem planı geliştirir ve ticari açıdan makul bir süre içinde uygular. Önem derecesi
biraz daha düşük olan hata ve eksiklikler için, e-Güven Yönetimi bu hususların önem derecesine
göre değerlendirir ve uygun hareket tarzını tespit eder.
2.7.6 Sonuçların İletilmesi
e-Güven’in operasyonlarının uygunluk denetimine ait sonuçlar e-Güven yönetiminin
inisiyatifinde açıklanabilir.
2.8
Gizlilik ve Özel Bilgi
e-Güven SP § 2.8’e uygun olarak http://www.e-guven.com/privacy adresinde yer alan bir özel
bilgi politikası uygulamaktadır.
2.8.1 Gizli ve Özel Bilgi Kapsamında Tutulacak Bilgi Çeşitleri
Aşağıdaki Abone kayıtları SUH § 2.8.2’ye tâbi olarak gizli ve özel bilgi kapsamında tutulur
(“Gizli/Özel Bilgi”):
•
•
•
•
•
•
•
•
Onaylanmış veya reddedilmiş SO başvuru kayıtları.
Sertifika Başvuru kayıtları (SUH § 2.8.2’ye tâbi).
Managed PKI Key Manager’ı kullanan Managed PKI Müşterilerinin kapalı anahtarları ve bu
kapalı anahtarları kurtarmak için gereken bilgiler.
İşlem kayıtları (hem tam kayıtlar, hem de işlemlerin denetim kayıtları).
VeriSign’ın, e-Güven’in, Küresel Ortakların veya bir Müşterinin oluşturduğu veya tuttuğu
VTN denetim kayıtları.
e-Güven’in veya onun ilgili denetçilerinin oluşturduğu e-Güven denetim kayıtları (şirket içi
veya genel).
Acil durum planları ve felaketten kurtarma planları.
e-Güven’in donanım ve yazılım operasyonları ile Sertifika servislerinin ve belirtilen kayıt
servislerinin idaresini kontrol eden güvenlik önlemleri.
- 31 -
2.8.2 Gizli veya Özel Bilgi Kabul Edilmeyen Bilgi Çeşitleri
e-Güven Altalanı Katılımcıları, Sertifikaların, Sertifika iptali ve diğer durum bilgilerinin, EGüven veri bankasının ve bunlar içindeki bilgilerin Gizli/Özel Bilgi olarak değerlendirilmediğini
kabul eder. SUH § 2.8.1 altında açıkça Gizli/Özel Bilgi olarak kabul edilmeyen bilgiler ne gizli,
ne de özel bilgi olarak değerlendirilir. Bu bölümle ilgili yürürlükteki mevzuat hükümleri saklıdır.
2.8.3 Sertifika İptal/Askıya Alma Bilgisinin İfşa Edilmesi
Bkz. SUH § 2.8.2.
2.8.4 Bilgilerin Resmi Makamlara Açıklanması
e-Güven Altalanı Katılımcıları, e-Güven’in, yürürlükteki emredici mevzuat hükümleri gereğince
resmi makamlara açıklama yapmakla yükümlü olduğu durumlar içersinde, resmi makamlarca
yürürlükteki emredici mevzuat hükümlerine uygun bir şekilde talep edilmesi halinde gizli/özel
bilgileri resmi makamlara açıklamaya yetkili olacağını kabul eder.
2.8.5 Bilgilerin Hukuk Davaları Sırasında Yapılan İstemler Üzerine Açıklanması
e-Güven Altalanı Katılımcıları, e-Güven’in, iyi niyet çerçevesinde, mahkeme celpleri,
soruşturma evrakı, karşılıklı dilekçeler, delil ve doküman talepleri gibi hukuk veya idari
davalarla ilgili keşif süreci sırasında adli, idari veya diğer yasal süreçlere cevaben gerekli
olduğunu düşünmesi halinde gizli/özel bilgileri açıklamaya yetkili olacağını kabul eder.
2.8.6 Bilgi Sahibinin Talebi Üzerine Açıklama
e-Güven’in gizlilik politikası, Gizli/Özel Bilgilerin, bu bilgileri e-Güven’e açıklayan kişiye
açıklanmasına dair hükümler içerir.
2.8.7 Diğer Bilgi Açıklama Koşulları
Koşul yoktur.
2.9
Fikri Mülkiyet Hakları
Fikri Mülkiyet Haklarının, Aboneler ve İtimat Eden Taraflar haricindeki e-Güven Altalanı
Katılımcıları arasında hangi sujelere ait olduğu, e-Güven Altalanı Katılımcıları arasında
yürürlükte bulunan anlaşmalarla düzenlenir. SUH § 2.9’a ait aşağıdaki altbölümler, Aboneler ve
İtimat Eden Taraflarla ilgili Fikri Mülkiyet Hakları için geçerlidir.
2.9.1 Sertifikalar ve İptal Bilgisinin Mülkiyet Hakları
SO’lar, yayınladıkları Sertifikalar ve iptal bilgileriyle ilgili bütün Fikri Mülkiyet Haklarını
ellerinde bulundurur. e-Güven ve Müşteriler, Sertifikaların çoğaltılmasına ve dağıtılmasına, bir
bütün halinde çoğaltılmaları ve kullanımlarının Sertifikada atıfta bulunulan İtimat Eden Taraflar
Anlaşmasına tâbi olması ve yazılı olarak başvurulması halinde, herhangi bir lisans ücreti talep
etmeden izin verme hakkını saklı tutmaktadır. E-Güven ve Müşteriler tarafından verilecek bu ,
- 32 -
bu izin hiçbir şekilde taraflara münhasırlık tanımaz. e-Güven ve Müşteriler, yürürlükteki CRL
Kullanım Anlaşması, İtimat Eden Taraflar Anlaşması veya yürürlükteki başka herhangi bir
anlaşmaya tâbi olarak İtimat Eden Tarafların işlevlerini yerine getirmesi için gereken iptal
bilgisinin kullanılmasına izin verir.
2.9.2 SP’nin ve SUH’un Mülkiyet Hakları
e-Güven Altalanı Katılımcıları, e-Güven’in işbu SUH ve SP ile ilgili bütün Fikri Mülkiyet
Haklarına müstakilen ve münhasıran sahip olduğunu kabul eder. .
2.9.3 İsim ve Marka Üzerindeki Hakları
Bir Sertifika Başvuru Sahibi, sertifika başvurusunda yer alan herhangi bir ticari marka, hizmet
markası, servis işareti veya ticari isim, ünvan ve Sertifika Başvuru Sahibine verilen bir
Sertifikadaki özgün isimle ilgili sahip olduğu (varsa) bütün hakları mahfuzdur.
2.9.4 Anahtarların ve Anahtar Malzemesinin Mülkiyet Hakları
SO’ların ve son kullanıcı Abonelerin Sertifikalarına karşılık gelen anahtar çiftleri, bunların
saklandığı ve korunduğu fiziksel ortamdan bağımsız olarak; Managed PKI Key Manager’ı
kullanan Managed PKI Müşterileriyle abonelerin akdettikleri sözleşme hükümleri çerçevesinde ,
bu Sertifikaları yayınlayan SO’ların ve son kullanıcı Abonelerin mülkiyetindedir ve bu kişiler
bu anahtar çiftleriyle ilgili bütün Fikri Mülkiyet Haklarına sahiptirler. Yukarıdaki hükümler saklı
kalmak kaydıyla, bütün PCA açık anahtarları ve kendinden imzalı Sertifikalar dahil olmak üzere
VeriSign’ın kök açık anahtarı ve bunları içeren kök Sertifikalar VeriSign’ın mülkiyetindedir.
VeriSign, güvenilir donanım cihazlarına ve yazılımlara kopyalar koymak amacıyla bu ana
Sertifikaları çoğaltmak için yazılım ve donanım üreticilerine lisans verir. Son olarak, yukarıdaki
hükümlerin genelliğini sınırlamaksızın, bir SO’nun kapalı anahtarı Kapalı Anahtar Grupları
SO’nun mülkiyetindedir ve SO bu Kapalı Anahtar Gruplarıyla ilgili bütün Fikri Mülkiyet
Haklarına sahiptir..
3. Tanımlama ve Kimlik Kontrolü
3.1
İlk Kayıt
3.1.1 İsim Tipleri
e-Güven SO Sertifikaları, Düzenleyen ve Konu alanlarında X.501 Özgün İsim içerir. e-Güven
SO Özgün İsimleri aşağıdaki Tablo 8’de belirtilen elemanlardan oluşur.
Özellik
Ülke (C) =
Kurum (O) =
Değer
Türkiye’dir, “ABD”dir veya kullanılmaz.
“RSA Data Security, Inc.”i gösteren, fakat şu anda bir VeriSign
SO’su olan Güvenli Sunucu SO’su hariç olmak üzere “VeriSign,
Inc.” veya e-Güven.
- 33 -
Özellik
Kurumsal Birim (OU) =
Eyalet veya Şehir (S) =
Mahal (L) =
Ortak İsim (CN) =
Değer
e-Güven SO Sertifikaları birden fazla OU özelliği içerebilir. Bu
özellikler aşağıdakilerden birini veya daha fazlasını kapsayabilir:
• SO İsmi
• VeriSign Trust Network
• Sertifikanın kullanımıyla ilgili hükümleri düzenleyen
ilgili İtimat Eden Taraflar Anlaşmasına atıfta bulunan bir
ifade
• Bir telif hakkı uyarısı
Kullanılmaz
“Internet”i kullanan VeriSign Ticari Yazılım Yayıncıları SO’su
haricinde kullanılmaz.
Bu özellik SO İsmini içerir (SO İsmi OU özelliğinde
belirtilmemişse) veya kullanılmaz.
Tablo 8 – SO Sertifikalarındaki Özgün İsim Özellikleri
Son kullanıcı Abone Sertifikaları, Konu ismi alanında bir X.501 özgün ismi içerir ve aşağıdaki
Tablo 9’da belirtilen elemanlardan oluşur.
Özellik
Ülke (C) =
Kurum (O) =
Değer
Türkiye veya kullanılmaz.
Kurum özelliği aşağıdaki gibi kullanılır:
•
Kurumsal Birim (OU) =
Şehir (S) =
Mahal (L) =
Ortak İsim (CN) =
e-Güven OCSP Cevaplandırma Ünitesi ve bireysel
Sertifikalar için “e-Güven”
• Web sunucu Sertifikaları için Abone kurumsal ismi.
e-Güven son kullanıcı Abone Sertifikaları birden fazla OU
özelliği içerebilir. Bu özellikler aşağıdakilerden birini veya daha
fazlasını kapsayabilir:
• Abone kurumsal birimi (kurumsal Sertifikalar için)
• VeriSign Trust Network
• Sertifikanın kullanımıyla ilgili hükümleri düzenleyen
ilgili İtimat Eden Taraflar Anlaşmasına atıfta bulunan bir
ifade
• Bir telif hakkı uyarısı
• Başvurularının kimlik kontrolü e-Güven tarafından
yapılan Sertifikalarda “e-Güven’ce Kimlik Kontrolü
Yapılmıştır” ve “Üye, VeriSign Trust Network” ibaresi.
• Sınıf 1 Bireysel Sertifikalar için “Geçerlilik Kontrolü
Yapılmamış Kişi” ibaresi.
• Sertifikanın tipini tarif eden bir metin.
Abonenin Şehrini gösterir ya da kullanılmaz.
Abonenin bulunduğu mahalli gösterir veya kullanılmaz.
Bu özellik aşağıdakileri içerir:
- 34 -
Özellik
E-Posta Adresi (E) =
Değer
• OCSP
Cevaplandırma
Ünitesi
İsmi
(OCSP
Cevaplandırma Ünitesi Sertifikaları için)
• Alan adı (web sunucu Sertifikaları için)
• Kurum adı (anahtar/nesne imzalama Sertifikaları için)
• İsim (bireysel Sertifikalar için).
Sınıf 1 bireysel Sertifikalar için e-posta adresi.
Tablo 9 – Son Kullanıcı Abone Sertifikalarındaki Özgün İsim Özellikleri
Sınıf 2-3 Sertifikalarda, Son kullanıcı Abone Sertifikalarının Konu özgün isminin Ortak İsim
(CN=) elemanının kimlik kontrolü yapılır.
•
•
•
Kurumsal Sertifikaların Konu özgün isimlerinde yer alan kimlik kontrolü yapılmış ortak isim
değeri bir alan adı (Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri durumunda)
veya kurumun ya da kurum içindeki birimin resmi kayıtlarda geçen ismidir.
Sınıf 3 kurumsal ASB Sertifikasının Konu özgün isminde yer alan kimlik kontrolü yapılmış
ortak isim değeri, genelde, kurum adına ve hesabına kapalı anahtarı kullanmaya yetkili
kurum temsilcisinin güvenilir belgelere dayanarak tespit edilmiş ad ve soyadı ve kurum (O=)
elemanı da kurumun tescil edilmiş ticari ünvanı veya ismidir.
Bireysel Sertifikaların Konu özgün isminde yer alan ortak isim değeri, bireyin genelde kabul
edilen kişisel ismini temsil eder.
3.1.2 İsimlerin Anlamlı Olması Gereksinimi
Sınıf 2 ve 3 son kullanıcı Abone Sertifikaları, Sertifika Konusu olan bireyin veya kurumun
kimliğinin belirlenmesine olanak sağlayan, genelde bilinen anlamlara sahip isimler içerir. Bu tip
Sertifikalar için son kullanıcı Abonelerin takma isimlerine (bir abonenin gerçek kişisel veya
kurumsal isminin dışındaki isimler) izin verilmez.
Takma isim kullanımına ancak Sınıf 1 son kullanıcı Abone Sertifikaları için izin verilir.
e-Güven CA Sertifikaları, Sertifika Konusu olan CA’nın kimliğinin belirlenmesine olanak
sağlayan, genelde bilinen anlamlara sahip isimler içerir.
3.1.3 Çeşitli İsim Formlarının Yorumlanmasına Dair Kurallar
Koşul yoktur.
3.1.4 İsimlerin Tek Olması
e-Güven, Konu Özgün İsimlerinin, Abone kayıt prosesine ait otomatik elemanlar vasıtasıyla
belirli bir SO’nun alanı içinde tek olmasını sağlar.
- 35 -
3.1.5 İsim İhtilaflarını Çözme Prosedürü
Sertifika Başvuru Sahiplerinin, Sertifika Başvurularında başkalarının Fikri Mülkiyet Haklarını
ihlal eden isimler kullanmaları yasaktır. e-Güven, Sertifika Başvuru Sahibinin bir Sertifika
Başvurusunda gösterilen isim üzerinde Fikri Mülkiyet Hakkı bulunup bulunmadığını doğrulamaz
ya da herhangi bir alan adı, ticari unvan, isim, ticari marka, hizmet markası veya servis işaretinin
mülkiyetiyle ilgili herhangi bir ihtilafta hakemlik veya aracılık yapmaz ya da bu ihtilafı herhangi
bir şekilde çözmeye çalışmaz. e-Güven, Sertifika Başvuru Sahibine sorumluluk yüklemeksizin,
bu tip bir ihtilaftan dolayı herhangi bir Sertifika Başvurusunu reddetmeye veya askıya almaya
yetkilidir.
3.1.6 Ticari Markaların Tanınması, Onaylanması ve İşlevi
Bkz. SUH § 3.1.5.
3.1.7 Kapalı Anahtara Sahip Olunduğunu Kanıtlama Yöntemi
e-Güven, Sertifika Başvuru Sahibinin bir kapalı anahtara sahip olduğunu, PKCS #10’la ilgili
olarak dijital imzalı bir sertifikanın kullanımıyla, şifreleme açısından eşdeğer başka bir kanıtla
veya e-Güven onaylı başka bir yöntemle doğrular.
e-Güven’in bir Abone adına bir kapalı anahtar oluşturduğu durumlarda (örneğin, önceden
oluşturulmuş anahtarların akıllı kartlara yerleştirilmesi) bu şart geçerli değildir.
3.1.8 Kurumun Kimliğinin Kontrolü
e-Güven, Sınıf 3 kurumsal son kullanıcı Abonelerinin kimliğini ve Sertifika Başvuru
Sahiplerinin verdiği diğer kayıt bilgilerini (Doğrulanmamış Abone Bilgileri hariç), aşağıdaki
altbölümlerde verilen prosedürlere göre doğrular. Aşağıdaki prosedürlere ilave olarak, Sertifika
Başvuru Sahibi, SUH § 3.1.7’ye göre Sertifikada bulunan açık anahtara karşılık gelen kapalı
anahtara sahip olduğunu ve bu anahtara kullanmaya yetkili olduğunu kanıtlamalıdır..
3.1.8.1 Kurumsal Son Kullanıcı Abonelerin Kimlik Kontrolü
3.1.8.1.1
Perakende Kurumsal Sertifikalar için Kimlik Kontrolü
e-Güven, bir Perakende kurumsal Sertifika için Sertifika Başvuru Sahibinin kimliğini aşağıdaki
gibi doğrular:
•
•
En az bir üçüncü şahıs kimlik kanıtlama servisi veya veri tabanı ya da alternatif olarak,
kurumun varlığını doğrulayan ilgili resmi makamlarca verilmiş resmi dokümanları
kullanarak.
Kurumla ilgili belirli bilgileri, Kurumun Sertifika Başvurusu yapmaya ve Kurum adına
Sertifika Başvurusunda bulunan kişinin bu işlemi yapmaya yetkili olduğunu doğrulamak
için yetkili bir Kurum irtibat görevlisiyle telefon, posta veya benzeri bir prosedürü
kullanarak irtibat kurarak.
- 36 -
Aşağıdaki Tablo 10’da tarif edilen belirli tipte Sertifikalar için ilave prosedürler yerine getirilir.
Sertifika Tipi
Bütün Sunucu Sertifikaları
İlave Prosedürler
e-Güven, Sertifika Başvuru Sahibinin, Sertifika Konusu olan
sunucunun alan adının kayıt sahibi olduğunu, aksi takdirde alanı
kullanmaya yetkili olduğunu doğrular.
Global Sunucu Kimlikleri
e-Güven, ilgili resmi makamlarca gerekli olan mevzuat
uygunluğu ile ilgili gerekli olan kontrolleri yapar.
Sınıf 3 Kurumsal ASB e-Güven, Kurum irtibat görevlisiyle telefon, posta veya benzeri
Sertifikaları
bir prosedürü kullanarak irtibat kurmak suretiyle aşağıdakileri
doğrular:
• Sertifika Başvuru Sahibi adına Sertifika Başvurusunu
yapan temsilcinin görevlendirilmiş olduğunu ve
• Sertifika Başvuru Sahibi adına hareket etme yetkisine
sahip olduğunu.
e-Güven, Sertifika Başvuru Sahibinin temsilcisiyle telefon, posta
ve/veya benzeri bir prosedürü kullanarak irtibat kurmak
suretiyle, temsilci olduğu belirtilen kişinin Sertifika
Başvurusunda bulunduğunu doğrular.
Tablo 10 – Özel Kimlik Kontrol Prosedürleri
3.1.8.1.2
SSL için Managed PKI Müşterileri veya SSL Premium Edition için Managed PKI Müşterileri
için Kimlik Kontrolü
SSL için Managed PKI Müşterileri ve SSL Premium Edition için Managed PKI Müşterileriyle
ilgili olarak, kimlik doğrulama süreci e-Güven’in SSL için Managed PKI Müşterisinin veya SSL
Premium Edition için Managed PKI Müşterisinin kimliğini SUH § 3.1.8.2’ye göre
doğrulamasıyla başlar. Bu doğrulamanın ardından, SSL için Managed PKI Müşterisi veya SSL
Premium Edition için Managed PKI Müşterisi, aşağıdakileri sağlayarak kendi kurumu içindeki
sunuculara Sertifika düzenlenmesini onaylamaktan sorumlu olur:
•
•
Bir Güvenli Sunucu Kimliği veya Global Sunucu Kimliği olarak tayin edilmiş sunucunun
gerçekten varolması ve
Kurumun bir Güvenli Sunucu Kimliği veya Global Sunucu Kimliği düzenlemeye yetkili
olması.
3.1.8.1.3
Sınıf 3 Kurumsal ASB Sertifikaları için Kimlik Kontrolü
e-Güven bir ASB sağlayıcı olarak, Sınıf 3 Kurumsal ASB Sertifikası için Sertifika Başvuru
Sahibinin kimliğinin doğrulanmasıyla ilgili aşağıdaki prosedürü yerine getirir:
•
En az bir üçüncü şahıs kimlik kanıtlama servisi veya veri tabanı ya da alternatif olarak,
kurumun varlığını doğrulayan ilgili resmi makamlarca verilmiş resmi dokümanları
kullanarak.
.
- 37 -
•
•
Sertifika Başvuru Sahibiyle telefon, taahhütlü posta ve/veya benzeri bir prosedürü
kullanarak irtibat kurarak, kurumla ilgili belirli bilgilerin, Kurumun Sertifika Başvurusu
yapmaya yetkili olduğunun, Kurum adına Sertifika Başvurusunda bulunan kişinin bu işle
ilgili yetkilendirilmiş veya kurumu temsil etme hakkına sahip olduğunun ve bu kişinin
Sertifika Başvuru Sahibi adına ve/veya hesabına hareket etmeye yetkili olduğunun
doğrulanması.
Sertifika Başvuru Sahibinin temsilcisiyle telefon, taahhütlü posta ve/veya benzeri bir
prosedürü kullanarak irtibat kurmak suretiyle, temsilci olduğu belirtilen kişinin Sertifika
Başvurusunu yaptığının doğrulanması.
Yukarıda belirtilen hususlara ve güvenlik şartlarına ayrıca SUH’a uygun olarak bahsi geçen
hizmetleri yerine getirirken e-Güven’in uymak zorunda olduğu bütün diğer şartlara uyması
koşuluyla e-Güven bu hizmetlerin üçüncü bir kişi tarafından yerine getirilmesi yolunda
anlaşmaya gitme hakkını saklı tutmaktadır.
3.1.8.2 SO’ların ve KO’ların Kimlik Kontrolü
e-Güven’e, SO Sertifikaları yaratma için gelen talepler, birden fazla güvenilen e-Güven
çalışanının katılımını gerektiren kontrollü bir süreç içersinde yetkili e-Güven personelince
değerlendirilir, işlenir, onaylanır, yürütülür ve sertifikalar yaratılır.
Managed PKI Müşterileri ve ASB Müşterileri, SO veya KO olmadan önce e-Güven’le bir
anlaşma yaparlar. Geçerlilik kontrolünün bir Sertifika Başvurusuna değil de bir Managed PKI
Müşterisi veya ASB Müşterisi olma başvurusuna ait olduğu durumlar haricinde, e-Güven, SO
veya KO olmaları yolunda nihai karar ve onayı vermeden önce, SUH § 3.1.8.1’de belirtilen
kurumsal son kullanıcı Abonelerin kimliğini doğrulamak için gereken kontrolleri yaparak aday
Managed PKI Müşterisinin veya ASB Müşterisinin kimliğini kontrol eder. Ayrıca Managed PKI
Müşterileri için, e-Güven, Managed PKI İdarecisi olarak tanımlanan kişinin o sıfatla hareket
etmeye yetkili olduğunu doğrular. İhtiyari olarak, e-Güven, kurumun yetkili temsilcisinin yetkili
e-Güven personelinin huzurunda şahsen bulunmasını isteyebilir.
Bazı durumlarda, e-Güven, bir aday Managed PKI Müşterisinin veya ASB Müşterisinin kimlik
kontrolü işlemlerinin kendisiyle bu yönde bir anlaşması bulunan üçüncü bir kişi tarafından yerine
getirilmesini sağlayabilir. Bu yönde e-Güven tarafından yetkilendirilen üçüncü kişiler bu tip bir
kurumsal kimliğin kontrolüyle ilgili prosedürleri e-Güven’in onayına sunulmalıdır. Bu onay,
üçüncü kişinin e-Güven ile yaptığı anlaşmanın koşullarına göre bir Managed PKI veya Kimlik
Kontrol Servisi Bürosu servisleri sağlayıcısı olarak işlemlerde bulunması için bir ön koşuldur.
Üçüncü kişi tarafından e-Güven’in onayına sunulan kurumsal kimliğin kontrolüne ilişkin
prosedürler en az yukarıda belirtilen koşulları kapsamalıdır.
3.1.9 Bireysel Kimliğin Kontrolü
Bütün bireysel Sertifika Sınıfları için, e-Güven (kendi SO’sı adına veya ASB Müşterilerinin
SO’ları adına) bir Managed PKI Müşterisi için aşağıdakileri doğrular:
•
Sertifika Başvuru Sahibinin Sertifika Başvurusunda tanımlanan kişi olduğunu (Sınıf 1
Sertifikalar için başvuruda bulunan Sertifika Başvuru Sahipleri hariç).
- 38 -
•
•
Sertifika Başvuru Sahibinin, SUH § 3.1.7’ye göre Sertifikada listelenecek açık anahtara
karşılık gelen kapalı anahtara sahip olduğunu ve buna hakkı olduğunu.
Sertifikada verilen bilgilerin doğru olduğunu (Doğrulanmamış Abone Bilgileri hariç).
Ayrıca, e-Güven, her bir Sertifika Sınıfı için aşağıda tarif edilen daha detaylı prosedürleri de
yerine getirebilir.
3.1.9.1 Sınıf 1 Bireysel Sertifikalar
Sınıf 1 Sertifikalar için bireylerin kimliklerinin kontrolü, Sertifika Konusunun özgün isminin eGüven Sınıf 1 CA Altalanında tek ve açık bir Konu ismi olup olmadığına dair yapılan kontrolden
oluşur. Sınıf 1 kimlik kontrolü kimlik güvencesi vermez (yani, bir Abonenin, olduğunu iddia
ettiği kişi olduğunu garanti etmez). Abonenin genel ismi Doğrulanmamış Abone Bilgisidir. Sınıf
1 kimlik kontrolü, ayrıca, Sertifika Başvuru Sahibinin e-posta adresinin sınırlı olarak
doğrulanmasını da içerir.
Sınıf 2 Sertifikalar için iki yöntemden biri kullanılır. Sınıf 2 Managed PKI Sertifikaları için,
Managed PKI Müşterileri ve Managed PKI Lite Müşterileri, Sertifika Başvurularının SUH
§ 3.1.9.2.1’e göre onaylanmasında veya reddedilmesinde faaliyet kayıtlarını veya faaliyet
bilgilerine ait veri tabanlarını kullanır. Perakende Sınıf 2 Sertifikalar ve Sınıf 2 Bireysel ASB
Sertifikaları için, e-Güven, e-Güven onaylı bir kimlik kanıtlama servisinin veri tabanında yer
alan bilgileri kullanarak SUH § 3.1.9.2.2’ye göre Sertifika Başvuru Sahiplerinin kimliğini
doğrular.
3.1.9.2.1
Sınıf 2 Managed PKI Sertifikaları
Sınıf 2 Managed PKI Sertifikaları için, Managed PKI Müşterisi, aşağıda ele alınan manuel veya
otomatik kimlik kontrol prosedürlerini veya şifrelerini kullanarak Sertifika Başvurularını
onaylar.
Managed PKI Müşterileri ve Managed PKI Lite Müşterileri, başvuru formunda sertifika
başvurusunda bulunan kişinin verdiği bilgileri (kayıt bilgisi) kendi kayıtlarıyla veya veri
tabanlarıyla karşılaştırarak bireylerin kimliğini doğrular. Örneğin, kayıt bilgisini bir insan
kaynakları departmanı veri tabanındaki personel veya bağımsız yüklenici kayıtlarıyla
karşılaştırabilirler. Kayıt bilgisi ile kimlik kontrolü için kullanılan kayıtlar veya veri tabanı
birbirini tuttuğu takdirde, Managed PKI Müşterisi veya Managed PKI Lite Müşterisi Managed
PKI Kontrol Merkezini kullanarak Sertifika Başvurusunu manuel olarak onaylayabilir. Bu süreç
“Manuel Kimlik Kontrolü” olarak bilinir.
Managed PKI’ın Otomatik Yönetim Yazılım Modülü ve diğer benzeri e-Güven yazılımları
Managed PKI Müşterilerine, her bir Sertifika Başvuru için Manuel kimlik Kontrolü gereksinimi
yerine kullanıcıları veya cihazları doğrudan mevcut idari sistemler veya veri tabanlarından
otomatik olarak onaylama veya iptal etme seçeneği sunar. Managed PKI Otomatik Yönetim
Yazılım Modülünü kullanan Managed PKI Müşterileri, potansiyel Sertifika Başvurularının
kimliğini onlara ait bilgiler bir veri tabanına girilmeden önce kontrol eder. Bir Sertifika Başvuru
- 39 -
Sahibi bir Sertifika Başvurusu yaptığında, Otomatik Yönetim Yazılım Modülü, Sertifika
Başvurusundaki bilgileri veri tabanıyla karşılaştırır ve bilgiler birbirini tutuyorsa Sertifika
Başvurusunu otomatik olarak onaylar ve E-Güven de Sertifikayı derhal düzenler. Bu sürece
“Otomatik Yönetim” denir.
e-Güven kimlik kontrolünce (“Şifre Kontrolü”) sunulan [VeriSign] Managed PKI “Şifresi”, bir
Sertifika Başvuru Sahibinin kayıt verilerinin, bir Managed PKI Müşterisinin Managed PKI
İdarecisince verilen, önceden konfigüre edilmiş kimlik kontrol verileriyle karşılaştırılması
sonucu Sertifika Başvurularının otomatik olarak onaylanmasını veya reddedilmesini içerir. Şifre
Kontrolüyle, Managed PKI Müşterisi, uygun kimlik kontrol seviyesinden memnun olan aday
Sertifika Başvuru Sahiplerine “şifreler” dağıtmak için bir çevrim dışı uygulama kullanır. Bu
durumda, Sertifika Başvuru Sahibi, bir Sertifika Başvurusu sunarken bu şifreyi ve beraberinde
diğer kimlik kontrol bilgisini verir. Şifre ve ilave kimlik kontrol bilgileri, daha önce Managed
PKI İdarecisince konfigüre edilmiş şifre veri tabanıyla karşılaştırılır ve bilgiler birbirini tutarsa
Sertifika düzenlenir.
Otomatik Yönetimi veya Şifre Kontrolünü kullanmayan Managed PKI Müşterileri ve bütün
Managed PKI Lite Müşterileri Manuel kimlik Kontrolünü kullanmalıdır.
3.1.9.2.2
Sınıf 2 Perakende Sertifikalar
e-Güven, Sertifika Başvurusundaki kimlik bilgileri ile e-Güven onaylı bir kimlik kanıtlama
servisinin (örneğin, büyük bir kredi derecelendirme kuruluşu veya bu yönde hizmet veren başka
bir güvenilir bilgi kaynağı) veri tabanında yer alan bilgilerin birbirini tutup tutmadığını
belirleyerek Sınıf 2 Perakende Sertifikalar ve Sınıf 2 Bireysel ASB Sertifikaları için yapılan
Sertifika Başvuruların geçerliliğini kontrol eder.
3.1.9.3.1
Sınıf 3 Bireysel Sertifikalar
Sınıf 3 bireysel Sertifika Başvurularının kimlik kontrolü, Sertifika Başvuru Sahibinin, bir yetkili
e-Güven temsilcisi, Managed PKI Müşterisi, noter veya benzer yetkilere sahip (Sertifika Başvuru
Sahibinin yetki sahası içinde) başka bir görevlinin huzurunda şahsen (fiziksel olarak)
bulunmasına dayanır. Acenta, noter veya başka bir görevli, Sertifika Başvuru Sahibinin
kimliğini, pasaport veya sürücü belgesi gibi iyi bilinen bir resmi kimlik belgesi ve bir diğer
kimlik belgesiyle kontrol eder.
3.1.9.3.2
Sınıf 3 İdareci Sertifikaları
e-Güven SO sistemlerine erişimi kontrol etmek ve VTN içindeki belirli eylemlere izin vermek
için çeşitli İdareci Sertifikaları kullanılır. Belirli tipte Sınıf 3 İdareci Sertifikaları SUH §1.3.1’de
listelenmiştir.
e-Güven, Managed PKI Müşterisi ve güvenilen dördüncü şahıs çalışanlar için Sınıf 3 İdareci
Sertifika Başvurularının kimlik kontrolünü aşağıdaki gibi yapar:
- 40 -
•
•
e-Güven, İdarecinin istihdam edildiği veya görev yaptığı kuruluşun varlığını ve kimliğini
SUH § 3.1.8.2’ye göre kontrol eder.
e-Güven, Sertifika Başvurusunda İdareci olarak isimlendirilen kişinin İdareci olarak
görev yaptığını ve İdareci yetkisine sahip olduğunu doğrular.
e-Güven kendi İdarecileri için yapılan Sertifika Başvurularını da onaylar. İdareciler kendi
kurumları içinde “Güvenilen Şahıslar”dır (Bkz. SUH § 5.2.1). Bu durumda, bunların Sertifika
Başvurularının kimlik kontrolü, bu işle ilgili yetkilendirilmesi veya görevlendirilmeleriyle (Bkz.
SUH § 5.2.3), mesleki bilgi kontrol prosedürleriyle (Bkz. SUH § 5.3.2) ve İdareci olarak görev
yapma yetkileriyle bağlantılı olarak kimliklerinin doğrulanmasına dayanır.
3.2
Rutin Anahtarlama ve Yenileme
Mevcut bir Abone Sertifikasının geçerlilik süresi dolmadan önce, Sertifikanın kullanımının
devam edebilmesi için Abonenin yeni bir sertifika alması gerekir. e-Güven, süresi dolan anahtar
çiftinin yerine genelde Abonenin yeni bir anahtar çifti oluşturmasını ister (bu teknik olarak
“yeniden anahtarlama” olarak tanımlanır). Ancak, bazı durumlarda (yani, web sunucu
sertifikaları için), e-Güven, Abonelerin mevcut anahtar çifti için yeni bir sertifika talep etmesine
izin verir (bu teknik olarak “yenileme” olarak tanımlanır). Aşağıdaki Tablo 11 e-Güven’in rutin
yeniden anahtarlama (mevcut bir anahtar çiftinin yerini alacak yeni bir anahtar çifti için yeni bir
sertifika verilmesi) ve yenileme (mevcut bir anahtar çifti için yeni bir sertifika verilmesi)
şartlarını tarif eder.
Genel olarak ele alırsak, “Yeniden Anahtarlam” ve “Yenileme” ortak olarak “Sertifika
Yenileme” olarak tarif edilir ve eski Sertifikanın yerini yeni bir Sertifikanın almasına odaklanır.
Bu bağlamda “Sertifika yenileme” yeni bir anahtar çifti oluşturulup oluşturulmaması üzerinde
durmaz. Sınıf 3 Sunucu Sertifikaları haricindeki hiçbir e-Güven Sertifika tipi ve sınıfı için bu
ayrımın önemi yoktur, çünkü e-Güven son kullanıcı Abone Sertifikası değiştirme işleminin bir
parçası olarak daima yeni bir anahtar çifti yaratılır.
Bununla birlikte, Sınıf 3 Sunucu Sertifikaları için, Abone anahtar çifti web sunucu üzerinde
yaratıldığından ve çoğu web sunucu anahtar yaratma aracı, mevcut bir anahtar çifti için yeni bir
Sertifika Talebinin yaratılmasına izin verdiğinden “yeniden anahtarlama” ile “yenileme”
arasında bir ayrım vardır. Ayrıca, aşağıdaki Tablo 11’de belirtilen sınırlamalara tâbi, mevcut eGüven SO anahtar çiftleri için yeni SO Sertifikaları düzenlenebilir.
Sertifika Sınıfı ve Tipi
Sınıf 1, Sınıf 2, Sınıf 3
Anahtar ve Nesne
İmzalama ve Sınıf 3
İdareci Sertifikaları
Sınıf
3
Sertifikaları
Rutin Yeniden Kodlama ve Yenileme Şartları
Bu tip Sertifikalar için Abone Anahtar Çiftleri çevrim içi kayıt
işleminin bir parçası olarak web tarayıcı tarafından yaratılır. Abone,
“yenileme” için mevcut bir anahtar çifti sunma ihtiyarına sahip
değildir. Buna göre, bu tip Sertifikalar için yeniden anahtarlama
desteklenir ancak Sertifika yenileme desteklenmez.
Sunucu Güvenli Sunucu Kimlikleri veya Global Sunucu Kimlikleri için,
Abone anahtar çiftleri çevrim için kayıt işleminin dışında (yani, bir
web sunucu üzerinde) oluşturulur. Çoğu sunucu anahtar yaratma aracı,
Abonenin, daha önce kullanılmış bir anahtar çifti için yeni bir Sertifika
- 41 -
Sertifika Sınıfı ve Tipi Rutin Yeniden Kodlama ve Yenileme Şartları
İmzalama Talebi (CSR) yaratmasına izin verir. Buna göre, Güvenli
Sunucu Kimlikleri ve Global Sunucu Kimlikleri için hem yeniden
anahtarlama, hem de Sertifika yenileme desteklenir.
CA Sertifikaları
SO anahtar çiftinin toplam sertifika geçerlilik süresini SUH § 6.3.2’de
belirtilen geçerli maksimum SO anahtar çifti geçerlilik süresini
aşmadığı sürece SO Sertifikalarının yenilenmesine izin verilir. eGüven SO’ları da SUH § 4.7’ye göre yeniden anahtarlanabilir. Buna
göre, e-Güven SO Sertifikaları için hem yeniden anahtarlama, hem de
sertifika yenileme desteklenir.
Tablo 11 – Rutin Yeniden Anahtarlama ve Yenileme Şartları
3.2.1 Son Kullanıcı Abone Sertifikaları için Rutin Yeniden Anahtarlama ve
Yenileme
İptal edilmemiş Abone Sertifikaları aşağıdaki Tablo 12’ye göre değiştirilebilir (yani, yeniden
anahtarlanabilir veya yenilenebilir).
Süre
Sertifikanın süresinin
sona ermesinden 30
gün öncesi ile 30 gün
sonrası arasındaki süre
Şart
Sınıf 3 Kurumsal ASB sertifikaları haricindeki bütün e-Güven
Sertifikaları için e-Güven veya Managed PKI Müşterisi, Parola
kullanarak, Sertifika değiştirmek isteyen Abonelerin kimliğini kontrol
eder. İlk kayıt işleminin bir parçası olarak, Aboneler bir Parola seçer
ve kayıt bilgisiyle birlikte verir. Öngörülen zaman dilimi içinde bir
Sertifikanın yeniden anahtarlanması veya yenilenmesi durumunda,
Abone, kayıt bilgisiyle birlikte Parolasını doğru olarak verirse ve kayıt
bilgisi değiştirilmemişse (irtibat bilgisi dahil) otomatik olarak yeni bir
Sertifika düzenlenir. Bu yöntemle yeniden anahtarlama veya
yenilemeden sonra ve en azından müteakip alternatif yeniden
anahtarlama veya yenileme olaylarında, SO veya KO, bir orijinal
Sertifika Başvurusunun kimlik kontrolü için SUH § 3.1.8.1’de
belirtilen şartlara göre Abonenin kimliğini tekrar doğrulayacaktır.
Bir Sınıf 3 Kurumsal ASB Sertifikasını değiştirme talebinin kimlik
kontrolü bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal
Sertifika Başvurusu kimlik kontrol prosedürlerinin de kullanılmasını
gerektirir.
Sertifikanın süresinin Bu senaryoya göre bir son kullanıcı Abone Sertifikasının
sona ermesinden 30 değiştirilmesinde, orijinal Sertifika Başvurusunun kimlik kontrolü için
gün
sonrasının SUH § 3.1.8.1 ve 3.1.9’da belirtilen şartlar kullanılır.
ardından
kontrolü, bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal
Sertifika Başvurusu kimlik kontrol prosedürlerinin de kullanılmasını
gerektirir.
- 42 -
Tablo 12 – Son Kullanıcı Abone Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme
Şartları
3.2.2 SO Sertifikaları için Rutin Yeniden Anahtarlama ve Yenileme
e-Güven SO’ları SUH § 4.7’ye göre periyodik olarak yeniden anahtarlanabilir.
e-Güven SO Sertifikaları SUH § 6.3.2’de belirtilen parametreler dahilinde yenilenebilir. Örneğin,
10 yıllık bir sertifika periyodu içinde bir PCA başlangıç sertifikası düzenlenmişse, SO’ların
anahtar çiftinin geçerlilik süresini 20 yıl daha uzatmak için yenilenmiş sertifikalar düzenlenebilir
ve böylece 30 yıllık maksimum izin verilen geçerlilik periyoduna ulaşılır. Sertifikanın Süresinin
dolmasından sonra SO’nun Sertifikasının yenilemesine izin verilmez.
VeriSign kendinden imzalı PCA Sertifikaları, diğer e-Güven’e ait olan kök SO’ları ve e-Güven
SO Sertifikaları için, yenileme talepleri yetkili VeriSign personelince ve birden fazla güvenilen
bireyin katılımını gerektiren kontrollü bir işlemle yaratılır ve onaylanır.
VeriSign PCA’larına bağlanan, e-Güven’a ait olmayan SO Sertifikaları için, e-Güven, Managed
PKI Müşterisinin veya ASB Müşterisinin gerçekten CA Sertifikasının Abonesi olduğunu
doğrulamak için uygun prosedürleri yerine getirir. Kimlik kontrol prosedürleri SUH § 3.1.8.3’le
ilgili orijinal kayıt prosedürleriyle aynıdır.
3.3
İptal Sonrasında Yeniden Anahtarlama
Aşağıdaki durumlarda iptalden sonra yeniden anahtarlamaya izin verilmez:
•
•
•
Sertifikanın (bir Sınıf 1 Sertifika haricinde), Sertifika Konusu olarak isimlendirilenin
haricindeki bir kişi için düzenlenmesinden dolayı iptal olması.
Sertifikanın (bir Sınıf 1 Sertifika haricinde), Sertifika Konusu olarak isimlendirilen kişinin
izni olmadan düzenlenmesi.
Abonenin Sertifika Başvurusunu onaylayan kuruluşun, Sertifika Başvurusundaki maddi bir
hususun yanlış olduğunu tespit etmesi veya kendisinde yanlış olduğu kanaatini yaratacak bir
sebep bulunması.
Yukarıdaki paragrafa tâbi olarak, iptal edilmiş Abone Sertifikaları aşağıdaki Tablo 13’e göre
değiştirilebilir (yani, yeniden anahtarlanabilir).
- 43 -
Süre
Şart
Sertifikanın
süresi Bir kurumsal veya bireysel Sertifika için, Sertifikanın iptalinden sonra
dolmadan önce
e-Güven, SUH § 3.2.1’de tarif edildiği gibi Parola kullanarak,
Sertifika değiştirmek isteyen kişinin gerçekten Abone (bireyler için)
veya yetkili bir kurumun temsilcisi (kurumlar için) olduğunu doğrular.
Bu prosedür haricinde, iptalden sonra bir Sertifikayı değiştirmek için,
SUH §§ 3.1.8.1, 3.1.9’da belirtilen, orijinal Sertifika Başvurusunun
geçerlilik kontrol şartları kullanılır. Bu Sertifikalar, değiştirilen
Sertifikanın Konu özgün ismiyle aynı Konu özgün ismini içerir.
kontrolü bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal
Sertifika Başvurusu kimlik kontrol prosedürlerinin kullanılmasını
gerektirir.
Sertifikanın
süresi Bu senaryoya göre bir son kullanıcı Abone Sertifikasının
dolduktan sonra
değiştirilmesinde, orijinal Sertifika Başvurusunun kimlik kontrolü için
SUH § 3.1.8.1, § 3.1.9’da belirtilen şartlar kullanılır.
Sınıf 3 Kurumsal ASB Sertifikasını değiştirme talebinin kimlik
kontrolü, bir Parolanın yanı sıra SUH § 3.1.8.1.3’deki gibi orijinal
Sertifika Başvurusu kimlik kontrol prosedürlerinin kullanılmasını
gerektirir.
Tablo 13 – İptal Sonrasında Sertifika Değiştirme Şartları
3.4
İptal Talebi
Bir Sertifikanın iptalinden önce, e-Güven, iptal talebinin Sertifikanın Abonesinden, Sertifika
Başvurusunu onaylayan kuruluştan veya ilgili ASB Müşterisinden (bir ASB Müşterisi SO’sunun
düzenlediği Sertifikalar için) geldiğini doğrular. Abone iptal taleplerinde kabul edilebilir kimlik
kontrol prosedürleri şunlardır:
•
•
•
Aboneden Parolanın alınması ve bu Parolanın kayıtlı Parolayla uyuşması halinde Sertifikanın
otomatik olarak iptal edilmesi.
Aboneden alındığı kanıtlanabilen, iptal talebinde bulunan ve iptal edilecek Sertifikayla
doğrulanabilen bir dijital imza içeren bir mesaj alınması.
Sertifika Sınıfı ışığında, iptal talep eden kişi veya kurumun gerçekten Abone olduğuna dair
somut kanıtlar gösteren Aboneyle iletişim kurulması. Şartlara bağlı olarak, bu iletişim
şunlardan birini veya daha fazlasını içerebilir: telefon, faks, e-posta, posta veya kurye servisi.
e-Güven İdarecileri, e-Güven Altalanında son kullanıcı Abone Sertifikası iptali için talepte
bulunmaya yetkilidir. e-Güven, İdarecilerin iptal işlevlerini yerine getirmesine izin vermeden
önce SSL ve istemci kimlik kontrolünü kullanarak erişim kontrolü yoluyla onların kimliğini
kontrol eder. Ancak iptal talebinde bulunanın bir ASB Müşterisinin SO İdarecisi olması
durumunda ASB Sağlayıcılar telefonla bu SO İdarecisinin kimliğini kontrol eder.
- 44 -
Otomatik Yönetim Yazılım Modülünü kullanan Managed PKI Müşterileri, e-Güven’e toplu iptal
talepleri sunabilir. Bu talepler, Managed PKI Müşterisi’nin Otomatik Yönetim donanım
elemanında kapalı anahtar kullanılarak dijital olarak imzalanmış bir talep vasıtasıyla kimlik
kontrolüne tâbi tutulur.
Managed PKI Müşterilerinin SO Sertifikasını iptal talepleri, iptal talebinin gerçekten SO’dan
geldiğinden emin olunması için e-Güven tarafından kimlik kontrolüne tâbi tutulur.
4. Operasyon Şartları
4.1
Sertifika Başvurusu
4.1.1 Son Kullanıcı Abone Sertifikaları için Sertifika Başvuruları
e-Güven Sertifikaları için, bütün son kullanıcı Sertifika Başvuruları aşağıdakilerden oluşan bir
kayıt sürecine tâbi tutulur:
•
•
•
•
•
Bir Sertifika Başvuru formunun doldurularak gerekli bilgilerin verilmesi.
SUH § 6.1’e göre anahtar çiftinin oluşturulması veya oluşturulmasının ayarlanması.
Sertifika Başvuru Sahibinin, açık anahtarını SUH § 6.1.3’e göre doğrudan veya bir Managed
PKI Müşterisi vasıtasıyla e-Güven’e vermesi.
Sertifika Başvuru Sahibinin, e-Güven’e verilen açık anahtara karşılık gelen kapalı anahtara
sahip olduğunun SUH § 3.1.7’ye göre e-Güven’e kanıtlanması.
İlgili Abonelik Anlaşmasına onay verilmesi.
Web Host Sistemleri kendi müşterileri adına Web Host Programıyla ilgili Sertifika Başvuruları
yapabilir (Bkz. SUH § 1.1.2.6).
Sertifika Başvuruları, işlenmek üzere (onay veya red) ya e-Güven’e, ya da Managed PKI
Müşterisine sunulur. Sertifika Başvurusunu işleyen kuruluş ve Sertifikayı SUH § 4.2’ye göre
düzenleyen kuruluş aşağıdaki tabloda gösterildiği gibi iki farklı kuruluş olabilir.
Sertifika Sınıfı/Kategorisi
Sertifika Başvurularını İşleyen Sertifikayı
Kuruluş
Perakende e-Güven
e-Güven
Sınıf 1 bireysel
Sertifika
Sınıf 2 bireysel Perakende
Sertifika
Sınıf 2 bireysel ASB Sertifikası
Sınıf 2 bireysel Managed PKI
Sertifikası
Sınıf 3 bireysel Perakende
Sertifika
e-Güven
e-Güven
e-Güven, ASB Sağlayıcı olarak
e-Güven
Sınıf 2 Managed PKI Müşterisi e-Güven
veya Managed PKI Lite Müşterisi
e-Güven
e-Güven
- 45 -
Sertifika Sınıfı/Kategorisi
Sertifika Başvurularını İşleyen
Kuruluş
Sınıf 3 İdareci Sertifikası
e-Güven
Sınıf 3 kurumsal Perakende e-Güven
Sertifikalar
Sınıf 3 kurumsal Managed PKI SSL
için
Managed
PKI
Sertifikaları (SSL için Managed Müşterileri veya SSL Premium
PKI veya SSL Premium Edition Edition için Managed PKI
için Managed PKI)
Müşterileri
Sınıf 3 kurumsal ASB Sertifika
e-Güven, ASB Sağlayıcı olarak
SO, Altyapı ve e-Güven Personel e-Güven
Sertifikaları
Sertifikayı
e-Güven
e-Güven
VeriSign
e-Güven
e-Güven
Tablo 14 – Sertifika Başvurularını Alan Kuruluşlar
4.1.2 SO, KO, Altyapı ve Personel Sertifikaları için Sertifika Başvuruları
4.1.2.1 KO Sertifikaları
VeriSign PCA’ları, sadece, VeriSign, Küresel Orataklar ve Managed PKI Müşterisi de dahil
kendi mahiyetindeki SO’lara sertifika verir. SO Sertifikalarının aboneleri olan e-Güven SO’ları
için sertifika talepleri birden fazla güvenilen şahsın katılımını gerektiren kontrollü bir yöntem
kullanılarak yetkili e-Güven personelince oluşturulur ve onaylanır.
SO Sertifikası abonesi olan Managed PKI Müşterilerinin Sertifika Başvuru Formu doldurması
gerekmez. Bunun yerine e-Güven ile sözleşme yaparlar. SO Sertifika Başvuru Sahiplerinin,
sözleşme süreci sırasında kimliklerini ispat etmeleri için SUH § 3.1.8.2’ye göre kimlik
belgelerini ve irtibat bilgilerini vermeleri gerekir. Bu sözleşme süreci sırasında veya en azından
Anahtar Yaratma Prosedüründen önce bir Managed PKI Müşterisi’nin veya ASB Müşterisinin
SO anahtar çiftini yaratmak için, Başvuru Sahibi uygun özgün ismi ve başvuru sahibine verilecek
Sertifikaların içeriğini belirlemek için e-Güven ile işbirliği yapacaktır. Bu SO’lar için sertifika
talepleri birden fazla güvenilen şahsın katılımını gerektiren kontrollü ve yüksek derecede güvenli
bir işlemle yetkili e-Güven personelince oluşturulur ve onaylanır.
4.1.2.2 KO Sertifikaları
e-Güven, KO’lara ve KO sistemlerine sertifikalar veren çeşitli İdari SO’lar işletir:
•
•
•
e-Güven SO’ları adına Sertifika Başvurularını işleyen e-Güven personeli (e-Güven KO
İdarecileri).
Kendi kurumları içindeki Managed PKI Müşterisi ve Altalanlarındaki sunucular adına
Sertifika Başvurularını işleyen Managed PKI Müşterisi personeli (Managed PKI İdarecileri).
Bir Otomatik Yönetim kimlik kontrol sürecinin geliştirilmiş olduğu durumlarda Managed
PKI Müşterileri için Sertifika Başvurularını işleyen Otomatik Yönetim Sunucuları.
- 46 -
İlgili İdari SO’ların aboneleri olan bu KO’ların tümü için, SUH § 4.1.1’de belirtilen Sınıf 3
İdareci Sertifikalarının şartları geçerlidir.
4.1.2.3 Altyapı Sertifikaları
e-Güven, e-Güven altyapı elemanlarına (örneğin, Sertifika durum bilgisi veren OCSP
Cevaplandırma Üniteleri ve e-Güven Roaming Servisini destekleyen Roaming Sunucuları)
Sertifikalar düzenleyen çeşitli Altyapı SO’ları da işletir.
4.1.2.4 VeriSign Personel Sertifikaları
e-Güven, bir Sertifika Başvurusu ve işlenmesi gerektiği gibi tamamlandığında çalışanlarına Sınıf
2 sertifikalar verir.
4.2
Sertifika Düzenleme
4.2.1 Son Kullanıcı Abone Sertifikaları Düzenleme
Bir Sertifika Başvuru Sahibi Sertifika Başvurusu yaptıktan sonra, e-Güven veya Managed PKI
İdarecisi (Bkz. SUH § 4.1.1), Sertifika Başvurusundaki bilgileri (Doğrulanmamış Abone
Bilgileri hariç) SUH §§ 3.1.8.1, 3.1.9’a göre doğrulamaya çalışır. Gerekli bütün kimlik kontrol
prosedürlerinin SUH § 3.1’e göre tam olarak yerine getirilmesinden sonra, e-Güven, bir
Managed PKI İdarecisi tarafından yapılan Sertifika Başvurusunu onaylar. Kimlik kontrolü
başarısız olursa, e-Güven, bir Managed PKI İdarecisinin Sertifika Başvurusunu reddeder.
Sertifika Başvurusunun onaylanmasından veya bir KO’nun Sertifika düzenleme talebinin
alınmasından sonra Sertifika düzenlenir ve verilir. e-Güven, Sertifika Başvurusunun
onaylanmasından sonra o Sertifika Başvurusunda yer alan bilgilere göre Sertifika Başvuru
Sahibine bir Sertifika düzenler ve verir. Eğer Managed PKI Müşterisi bir Sertifika Başvurusunu
onaylar ve bu onayı e-Güven’e iletirse, e-Güven bir Sertifika düzenler ve Sertifika Başvuru
Sahibine verir. Bu bölümdeki prosedürler Sertifika değiştirme (yani, yenileme veya yeniden
anahtarlama) talebinin yapılmasıyla bağlantılı olarak Sertifika düzenlemek için de kullanılır.
4.2.2 SO, KO ve Altyapı Sertifikaları Düzenleme
e-Güven, Müşteri olmak isteyen kuruluşların kimliklerini SUH § 3.1.8.2’ye göre kontrol edip
onayladıktan sonra SO veya KO işlevlerini yerine getirmek için gereken Sertifikaları verir. eGüven, SUH § 4.1.2’ye göre Müşteri olmak isteyen bir başvuru sahibiyle sözleşme yapmadan
önce, sunulan kimlik belgeleri esas alınarak potansiyel Müşterinin kimliği doğrulanır. Bu tip bir
sözleşmenin uygulanması, e-Güven’in başvuruyu bütünüyle ve nihai olarak onayladığını
gösterir. Müşteri başvurusunu onaylama veya reddetme kararını sadece e-Güven verir. Bu
onaydan sonra, e-Güven, Müşteri SO’suna veya KO’suna SUH § 6.1’e göre Sertifika verir.
e-Güven altyapı elemanları (örneğin, OCSP Cevaplandırma Üniteleri) için, Sertifika talepleri,
birden fazla Güvenilen Şahsın katılımını gerektiren kontrollü ve yüksek derecede güvenli bir
işlemle yetkili e-Güven personelince yaratılır ve onaylanır.
- 47 -
4.3
Sertifika Kabulü
Sertifikanın hazırlanmasından sonra, e-Güven, Abonelere, Sertifikalarının hazır olduğunu ve bu
Sertifikaları alabilecekleri araçları bildirmek için ihbarda bulunur. Managed PKI Müşterileri için,
Abonelere bu ihbar Managed PKI İdarecisi vasıtasıyla gönderilir.
Sertifikalar düzenlendikten sonra, ya bir web sitesinden indirmelerine olanak sağlanarak, ya da
Sertifikayı içeren bir mesaj gönderilerek son kullanıcı Abonelerin kullanımına sunulur. Örneğin,
e-Güven, Aboneye, Sertifikayı almak için Abonenin erişeceği web sayfasının linki ile bu
erişimin sağlayacak olan PIN’i kodunu gönderebilir. Sertifika, Aboneye, bir e-posta mesajıyla da
gönderilebilir. Bir Sertifikanın indirilmesi veya eklendiği mesajdan barındırılacağı terminale
kopyalanarak kurulması için Abonenin Sertifikayı kabulü gerekir.
4.4
Sertifikayı Askıya Alma veya İptal Etme
4.4.1 İptal Koşulları
4.4.1.1 Son Kullanıcı Abone Sertifikaları için İptal Koşulları
Bir son kullanıcı Abone Sertifikası aşağıdaki koşullarda iptal edilir:
•
•
•
•
•
•
•
•
•
•
e-Güven tarafında, herhangi bir Müşteri veya Abonede, Müşterinin veya Abonenin kapalı
anahtarıyla ilgili bir Tehdit bulunduğu yönünde bir kanaat veya güçlü bir şüphe oluşması.
Abonenin ilgili Abonelik Anlaşmasına göre Abone tarafından yaratılan ve sözleşmenin feshi
için haklı sebep sayılabilecek bir durumun ortaya çıkması, Abonenin yükümlülüklerini yerine
getirmemesi, Abonenin güvenlikle ilgili yeterli önlemleri almaması gibi durumların e-Güven
veya Müşteri tarafından tespiti
Aboneyle yapılan Abonelik Anlaşmasının sona ermiş olması.
Managed PKI Müşterisi veya Sınıf 3 Kurumsal ASB Sertifikaları düzenleyen bir ASB
Müşterisi ile bir Abone arasındaki bağlantının sona ermiş veya erdirilmiş olması.
Sınıf 3 Kurumsal ASB Sertifikası düzenleyen bir Abone olan bir kurum ile Abonenin kapalı
anahtarını kontrol eden ve/veya kullanan kurumun yetkili temsilcisi arasındaki bağlantının
sona ermiş veya erdirilmiş olması.
e-Güven veya Müşteride, Sertifikanın ilgili SUH’un gerektirdiği prosedürlere göre
düzenlenmediği, Sertifikanın (Sınıf 1 Sertifikaları haricinde) Sertifika Konusu olarak
isimlendirilenin haricindeki bir kişiye verildiği veya Sertifikanın (Sınıf 1 Sertifikaları
haricinde) Sertifika Konusu olarak isimlendirilen kişinin izni olmadan düzenlendiği yönünde
bir kanaat oluşması için bir sebep bulunması.
e-Güven veya Müşteride, Sertifika Başvurusundaki bir maddi durumun yanlış olduğu
yönünde bir kanaat oluşması için bir sebep bulunması.
e-Güven veya Müşterinin, Sertifika Düzenlemeyle ilgili bir esaslı önşartın yerine
getirilmediği veya bu şarttan feragatin gerçekleştirilmediğinin tespiti.
Sınıf 3 kurumsal Sertifikalarda, Abonenin ticari isim veya ünvanın değişmesi.
Sertifikada bulunan, Doğrulanmamış Abone Bilgisi haricindeki bilgilerin yanlış veya
değiştirilmiş olması.
- 48 -
•
Abonenin, SUH § 3.4’e göre Sertifikanın iptalini talep etmesi.
Bir İdarecinin İdareci olarak hareket etme yetkisinin sona ermiş veya erdirilmiş olması halinde
de e-Güven İdarecinin Sertifikasını iptal edebilir.
e-Güven Abonelik Anlaşmaları, son kullanıcı Abonelerin, kapalı anahtarıyla ilgili bilinen veya
şüpheli bir Tehdit bulunması halinde bunu derhal SUH § 4.4.3.1’e göre e-Güven’e bildirmeleri
gerektiğini açıklayan hükümler taşımaktadır.
4.4.1.2 SO, KO veya Altyapı Sertifikaları için İptal Koşulları
e-Güven aşağıdaki durumlarda SO, KO veya altyapı Sertifikalarını iptal eder:
•
•
•
•
•
e-Güven’in, SO, KO veya altyapı sertifikalarının kapalı anahtarıyla ilgili bir tehdit
bulunduğunu tespit etmesi veya bu yönde bir kanaat oluşmasına yol açacak bir sebep
bulunması.
SO veya KO ile e-Güven arasındaki anlaşmanın sona ermiş olması.
e-Güven’in, Sertifikanın işbu SUH’un gerektirdiği prosedürlere göre düzenlenmediği,
Sertifika Konusu olarak isimlendirilenin haricindeki bir kişiye verildiği veya Sertifika
Konusu olarak isimlendirilen kişinin izni olmadan düzenlendiğini tespit etmesi veya bu
yönde bir kanaat oluşmasına yol açacak bir sebep bulunması.
e-Güven veya Müşterinin, Sertifika Düzenlemeyle ilgili bir esaslı önşartın yerine
getirilmediği veya bu şarttan feragatin gerçekleştirilmediğinin tespiti
SO veya KO’nun Sertifikanın iptalini talep etmesi.
e-Güven, Managed PKI Müşterilerinin ve ASB Müşterilerinin, SUH § 4.4.3.1’e göre
sertifikaların iptaliyle ilgili süreçte yer aldıkları zaman, bu süreçle ilgili gerektiğinde kendisine
bilgi verilmesini talep edebilir.
4.4.2 Kimler İptal Talebinde Bulunabilir
4.4.2.1 Kimler Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Edebilir
Aşağıdaki kuruluşlar bir son kullanıcı Abone Sertifikasının iptalini talep edebilir:
•
•
•
•
•
e-Güven veya Abonenin Sertifika Başvurusunu onaylayan Müşteri SUH § 4.4.1.1’e göre
herhangi bir son kullanıcı Abone veya İdareci Sertifikasının iptalini talep edebilir.
Bireysel Aboneler kendi bireysel Sertifikalarının iptalini talep edebilir.
Kurumsal Sertifikalarda, sadece kurumun yetkili temsilcisi kuruma verilen Sertifikaların
iptalini talep edebilir.
Bir ASB Müşterisi, kendi SO’sunun verdiği Sertifikaların iptalini başlatmaya yetkilidir.
e-Güven veya İdarecisi bir İdareci Sertifikası almış olan Managed PKI Müşterisinin yetkili
temsilcisinin İdareci Sertifikasının iptalini talep etmeye yetkilidir.
- 49 -
4.4.2.2 Kimler Bir SO, KO veya Altyapı Sertifikasının İptalini Talep Edebilir
Aşağıdaki kuruluşlar bir SO, KO veya Altyapı Sertifikasının iptalini talep edebilir:
•
•
•
Sadece e-Güven, kendi SO’larına, KO’larına veya altyapı elemanlarına verilen Sertifikaların
iptalini talep etmeye veya başlatmaya yetkilidir.
VeriSign’ın e-Güven’in alt alanında olduğu durumlarda veya e-Güven’in alat alanında yer
alan tüm taraflar için e-Güven, SUH § 4.4.1.2’ye göre herhangi bir İşlem Merkezi, Servis
Merkezi, Managed PKI Müşterisi ya da ASB Müşterisi SO’sı , KO’sı veya altyapısı
Sertifikasının iptalini başlatabilir.
İşlem Merkezleri, Servis Merkezleri, Managed PKI Müşterileri ve ASB Müşterileri, yetkili
temsilcileri vasıtasıyla kendi SO, KO ve altyapı Sertifikalarının iptalini talep etmeye
yetkilidir.
4.4.3 İptal Talebi Prosedürü
4.4.3.1 Bir Son Kullanıcı Abone Sertifikasının İptalini Talep Etme Prosedürü
İptal talebinde bulunan bir son kullanıcı Abonenin, bu talebi, sertifikanın iptalini hemen
başlatacak olan e-Güven’e veya Abonenin Başvuru Sertifikasını onaylayan Müşteriye iletmesi
gerekir. Managed PKI Müşterileri için, Abonenin bu talebi, işleme alınmak üzere e-Güven’e
iletecek olan Managed PKI İdarecisine iletilmesi gerekir. Bu iptal talebi SUH § 3.4’e göre
bildirilecektir.
Bir Managed PKI Müşterisinin veya ASB Müşterisinin kendi inisiyatifiyle bir son kullanıcı
Abone Sertifikasının iptalini başlatması durumunda, Managed PKI Müşterisi veya ASB
Müşterisi e-Güven’e Sertifikayı iptal etme talimatı verir.
4.4.3.2 Bir SO veya KO Sertifikasının İptalini Talep Etme Prosedürü
Kendi SO veya KO Sertifikasının iptalini talep eden bir SO veya KO’nun bu talebinin SO veya
KO tarafından e-Güven’e iletilmesi gerekir. Bu talebi alan e-Güven Sertifikayı iptal eder. Ayrıca
müstakil e-Güven de SO veya KO Sertifikasının iptalini başlatabilir.
4.4.4 İptal Talebi Süresi
İptal talepleri ticari açıdan makul, mümkün olan en kısa süre içinde sunulmalıdır.
4.4.5 Askıya Alma Koşulları
e-Güven, genelde, SO veya son kullanıcı Abone Sertifikaları için askıya alma servisi sunmaz.
4.4.6 Kimler Askıya Alma Talebinde Bulunabilir
İlgili değildir.
- 50 -
4.4.7 Askıya Alma Talebi Prosedürü
İlgili değildir.
4.4.8 Askıya Alma Süresi Limitleri
İlgili değildir.
4.4.9 CRL Yayınlama Sıklığı
e-Güven, iptal edilen e-Güven Sertifikalarını gösteren CRL’ler yayınlar ve durum kontrol
servisleri sunar. Son kullanıcı Abone Sertifikaları düzenleyen SO’lar için her gün CRL’ler
yayınlanır. Sadece SO Sertifikaları düzenleyen SO’lar için CRL’ler üç ayda bir yayınlanır. Bu
süreden önce ancak SO’lar için CRL’ler ancak bir SO Sertifikası iptal edildiğinde yayınlanır.
Süresi dolan Sertifikalar sona erme tarihinden otuz (30) gün sonra CRL’den çıkarılır.
4.4.10 Sertifika İptal Listesi Kontrol Şartları
İtimat Eden Taraflar, işlem yapmak için esas aldıkları Sertifikaların durumunu kontrol etmelidir.
İtimat Eden Tarafların Sertifika durumunu kontrol etmede kullanabilecekleri bir yöntem, İtimat
Eden Tarafın esas almak istediği Sertifikayı düzenleyen SO’nun yayınladığı en son CRL’ye
başvurmaktır.
•
•
•
VeriSign PCA’ları ve Sınıf 1-3 Sertifika Otoriteleri için, CRL’ler http://crl.verisign.com
adresindeki VeriSign veri bankasında açıklanır.
Managed
PKI
Lite
Müşterisi
SO’ları
için,
CRL’ler
http://onsitecrl.eguven.com/OnSitePublic/ adresinde açıklanır.
Managed PKI Müşterisi SO’ları için, CRL’ler, yeri Managed PKI Müşterisine bildirilen
müşteriye özel veri bankalarında yayınlanır.
İtimat Eden Tarafların ilgili SO için CRL’nin yerini belirlemesine olanak sağlamak için Veri
Bankasında bir “CRL referans Tablosu” da yayınlanır.
4.4.11 Çevrim İçi İptal/Durum Kontrolü Bilgisi Alma
e-Güven, CRL’ler yayınlamasının yanı sıra e-Güven veri bankasında sorgulama işlevleriyle
Sertifika durum bilgisi de verir.
Sertifika durum bilgisi, aşağıdaki adreslerde bulunan E-Güven Veri Bankasıyla erişilebilen web
esaslı sorgulama işlevleriyle elde edilebilir:
•
•
https://www.e-guven.com/repository (bireysel Sertifikalar için)
https://www.e-guven.com/repository (Sunucu ve Geliştirici Sertifikaları için)
e-Güven, OCSP Sertifika durum bilgisi de verir. OCSP servisleri için sözleşme yapan Managed
PKI Müşterileri OCSP’yi kullanarak Sertifika durumunu kontrol edebilir. İlgili OCSP
Cevaplandırma Ünitesi için, URL, Managed PKI Müşterisine iletilir.
- 51 -
4.4.12 Çevrim İçi İptal Kontrolü Şartları
Bir İtimat Eden Taraf, işlem yapmak için esas almak istediği bir Sertifikanın durumunu en son
ilgili CRL’ye başvurarak kontrol etmezse, SUH § 4.4.11’de belirtilen ilgili yöntemlerden birini
kullanarak bu kontrolü yapabilir.
4.4.13 Mevcut Diğer İptal Duyuru Formları
Koşul yoktur.
4.4.14 Diğer İptal Duyuruları için Kontrol Şartları
Koşul yoktur.
4.4.15 Anahtar Tehditleriyle İlgili Özel Şartlar
e-Güven, bir e-Güven SO’sunun kapalı anahtarıyla ilgili bir tehdit tespit ederse veya bu yönde
kanaat oluşturacak bir sebep gördüğü takdirde, SUH §§ 4.4.9 – 4.4.14’de tarif edilen
prosedürlere ilave olarak, potansiyel işlem taraflarını ve itimat eden tarafları uyarmak için ticari
açıdan makul her türlü çabayı sarf edecektir.
4.5
Güvenlik Denetimi Prosedürleri
4.5.1 Kaydedilen Olay Tipleri
e-Güven aşağıdaki önemli olayları manuel veya otomatik olarak kaydeder:
•
SO anahtar yaşam döngüsü yönetimi olayları:
- Anahtar yaratma, yedekleme, saklama, kurtarma, arşivleme ve imha etme.
- Şifreleme cihazı periyodu yönetimi olayları.
•
SO ve Abone sertifika yaşam döngüsü yönetimi olayları:
- Sertifika Başvuruları, yenileme, yeniden anahtarlama ve iptal.
- Başarılı veya başarısız talep işlemleri.
- Sertifikaların ve CRL’lerin yaratılması ve yayınlanması.
•
Güvenlikle ilgili olaylar:
- Başarılı veya başarısız PKI sistemi erişim girişimleri.
- e-Güven personelinin PKI ve güvenlik sistemi eylemleri.
- Okunan, yazılan veya silinen gizli dosyalar veya kayıtlar.
- Güvenlik profili değişiklikleri.
- Sistem arızaları, donanım arızaları ve diğer anormallikler.
- Güvenlik duvarı ve rooter aktivitesi.
- SO tesisi ziyaretçi girişi/çıkışı.
- 52 -
Kayıt girdileri aşağıdaki elemanları içerir:
•
•
•
•
Girdi tarih ve saati.
Otomatik jurnal girişleri için girdinin seri veya sıra numarası.
Jurnal girişini yapan kuruluşun kimliği.
Girdi tipi.
e-Güven KO’ları ve Managed PKI İdarecileri aşağıdaki Sertifika Başvuru bilgilerini kaydeder:
•
•
•
•
•
•
Sertifika Başvuru Sahibince sunulan kimlik belgesi/belgeleri türü.
İlgiliyse, kimlik belgelerinin özel kimlik bilgileri, numaraları veya her ikisine ait kayıtlar
(örneğin, Sertifika Başvuru Sahibinin sürücü belgesi numarası).
Başvuruların ve kimlik belgelerinin kopyalarının saklandığı yer.
Başvuruyu kabul eden kuruluşun kimliği.
Varsa, kimlik belgelerinin geçerliliğini kontrol etmede kullanılan yöntemler.
İlgiliyse, alıcı SO’nun veya ileten KO’nun ismi.
4.5.2 Kayıt İşleme Sıklığı
Denetim kayıtları, en azından haftada bir önemli güvenlik ve operasyonel olaylar açısından
kontrolden geçirilmelidir. Ayrıca, e-Güven, e-Güven SO veya KO sistemlerindeki düzensizlikler
ve olaylardan dolayı alarm verilmesi durumunda kendi denetim kayıtlarını şüpheli veya anormal
aktiviteler açısından inceler.
Denetim kaydının incelenmesi, bir denetim kayıt özetindeki bütün önemli olaylar için denetim
kayıtlarının ve dokümanlarının incelenmesinden oluşur. Denetim kaydı incelemeleri, kaydın
yetkisiz kişilerce erişilmediğinin doğrulanmasını, bütün kayıt girdilerinin kısaca gözden
geçirilmesini ve kayıtlardaki alarmların veya düzensizliklerin daha kapsamlı şekilde
araştırılmasını içerir. Denetim kaydı incelemeleri sonucunda alınan önlemler de kayıtlara
geçirilir.
4.5.3 Denetim Kaydı Saklama Süresi
Denetim kayıtları işlendikten sonra en az iki (2) ay tesiste saklanır ve daha sonra SUH § 4.6.2’ye
göre arşivlenir.
4.5.4 Denetim Kaydının Korunması
Elektronik ve manuel denetim kaydı dosyaları, yetkisiz kişilerin izlemesi, değişiklik yapması,
silmesi veya başka herhangi bir şekilde erişimine karşı fiziksel ve lojik erişim kontrolleri
kullanılarak korunur.
4.5.5 Denetim Kaydı Yedekleme Prosedürleri
Denetim kayıtları her gün kademeli olarak yedeklenir ve haftada bir de tam yedekleme yapılır.
- 53 -
4.5.6 Denetim Bilgisi Toplama Sistemi
Başvuru safhasında, ağ ve işletim sistemi seviyesinde denetim verileri otomatik olarak yaratılır
ve kaydedilir. Manuel olarak yaratılan denetim verileri e-Güven personelince kaydedilir.
4.5.7 Olaya Sebep Olan Sertifika Konusuna İhbarda Bulunma
Denetim bilgisi toplama sistemi bir olay kaydettiği zaman, olaya sebep olan birey, kurum, cihaz
veya başvuruya ihbarda bulunmaya gerek yoktur.
4.5.8 Güvenlik Açıklarının Değerlendirilmesi
Denetim sürecindeki olayların kaydedilmesinin bir amacı de sistemin güvenlik açıklarının
izlenmesidir. Lojik güvenlik açığı değerlendirmeleri (“LSVA’lar”) bu izlenen olayların gözden
geçirilmesinden sonra yapılır, incelenir ve revize edilir. LSVA’lar gerçek zamanlı otomatik kayıt
verilerine dayanır. LSVA’lar Güvenlik ve Denetim Şartları Kılavuzuna göre günlük, aylık ve
yıllık olarak yerine getirilir. Bir yıllık LSVA, yıllık Uygunluk denetimi için bir girdi görevi
görür.
4.6
Kayıtların Arşivlenmesi
4.6.1 Kaydedilen Olay Tipleri
e-Güven, SUH § 4.5’de belirtilen denetim
dokümantasyonunu içiren kayıtları tutar:
•
•
kayıtlarına
ilave
olarak
aşağıdakilerin
e-Güven’in SUH’a uygunluğu ve Aboneleriyle yaptığı anlaşmalar altındaki diğer
yükümlülükleri.
Her bir Sertifika Başvurusuyla ve e-Güven İşlem/Servis Merkezinden verilen bütün
Sertifikaların yaratılması, düzenlenmesi, kullanılması, iptali, sona ermesi ve yeniden
anahtarlanması ya da yenilenmesiyle ilgili eylem ve bilgiler.
e-Güven’in Sertifika Yaşam Döngüsü olay kayıtları arasında şunlar bulunur:
•
•
•
•
•
Her bir Sertifikada adı geçen Abonenin kimliği (sadece Abonenin açık isminin kayıtlı
tutulduğu Sınıf 1 Sertifikalar hariç).
Sertifika iptali talep eden kişilerin kimliği (sadece Abonenin açık isminin kayıtlı tutulduğu
Sınıf 1 Sertifikalar hariç).
Sertifikada gösterilen diğer durumlar.
Zaman damgaları.
SUH § 2.7 altında bir Uygunluk Denetiminin başarıyla yerine getirilmesiyle ilgili bilgiler de
dahil olmak ve fakat bunlarla sınırlı kalmamak şartıyla Sertifika düzenlemeyle ilgili belirli
öngörülebilir maddi durumlar.
Kayıtlar, doğru ve tam olarak sıralanması, saklanması, korunması ve çoğaltılması şartıyla
elektronik veya basılı kopya halinde tutulabilir.
- 54 -
4.6.2 Arşiv Saklama Periyodu
Bir Sertifikayla ilgili kayıtlar, Sertifikanın sona ermesinden veya iptal edilmesinden sonra en az
aşağıda belirtilen sürelerle saklanır.
•
•
•
Sınıf 1 Sertifikalar için beş (5) yıl.
Sınıf 2 Sertifikalar için on (10) yıl.
Sınıf 3 Sertifikalar için otuz (30) yıl.
Gerekirse, e-Güven, yürürlükteki kanunlara uygunluk açısından daha uzun saklama süreleri
uygulayabilir.
4.6.3 Arşivin Korunması
e-Güven, SUH § 4.6.1 altında derlenmiş arşiv kayıtlarını sadece yetkili kişilerin arşivlenmiş
verilere erişmesine izin verecek şekilde korur. Elektronik olarak arşivlenmiş veriler, uygun
fiziksel ve lojik erişim kontrolleri kullanılarak, yetkisiz izleme, değiştirme, silme veya başka
herhangi bir şekilde erişime karşı korunur. Arşivlenmiş verilerin tutulduğu araçlar ve bunları
işlemek için gereken başvurular saklanarak, arşivlenmiş verilere SUH § 4.6.2’de belirtilen
süreler içinde erişilebilmesi sağlanır.
4.6.4 Arşiv Yedekleme Prosedürleri
e-Güven, düzenlenen Sertifika bilgisiyle ilgili elektronik arşivleri her gün kademeli olarak
yedekler ve haftada bir de tam yedekleme yapar. SUH § 4.6.1’e göre derlenen basılı kayıtların
kopyaları SUH § 4.8’e göre tesis dışındaki bir felaketten kurtarma tesisinde saklanır.
4.6.5 Kayıtlara Zaman Damgası Basma Şartları
Sertifikalar, CRL’ler ve diğer iptal veri tabanı girdileri zaman ve tarih bilgisi içerir. Bu zaman
bilgisinin, e-Güven’in Dijital Onay Servisinin aksine şifre esaslı olmadığına dikkat edilmelidir
(Bkz. SUH § 1.1.2.2.2).
4.6.6 Arşiv Bilgisine Ulaşma ve Doğrulama Prosedürleri
Bkz. SUH § 4.6.3.
4.7
Anahtar Değiştirme
e-Güven SO anahtar çiftleri SUH § 6.3.2’de tanımlanan ilgili maksimum sürelerinin sonunda
servisten çıkarılır. SO anahtar çiftinin toplam onaylı süresi maksimum SO anahtar çifti süresini
aşmadığı sürece e-Güven SO Sertifikaları yenilenebilir. Örneğin, servisten çıkarılan anahtar
çiftlerinin yerini alması için, mevcut aktif anahtar çiftlerini tamamlamak için ve SUH § 6.1’e
göre yeni servisleri desteklemek için gerektiğinde yeni SO anahtar çiftleri yaratılır.
Bir Üst SO için SO Sertifikasının süresi dolmadan önce, Üst SO’nın hiyerarşisindeki
kuruluşların eski Üst SO anahtar çiftinden yeni SO anahtar çift(ler)ine problemsiz geçişini
- 55 -
kolaylaştırmak için anahtar değiştirme prosedürleri uygulanır. e-Güven’in SO anahtar değiştirme
süreci aşağıdaki şartlara tabidir:
•
•
•
4.8
Bir Üst SO, Üst SO anahtar çiftinin kalan süresinin, Üst SO’nun hiyerarşisi içinde Alt
SO’larca düzenlenen belirli tipte Sertifika/lar için onaylı Sertifika Geçerlilik Süresine eşit
olduğu tarihten en fazla 60 gün önce yeni Alt SO Sertifikaları düzenlemeyi durdurur
(“Sertifika Düzenleme Durdurma Tarihi”).
“Sertifika Düzenleme Durdurma Tarihi”nden sonra alınan Alt SO (veya son kullanıcı Abone)
Sertifika taleplerinin geçerliliğinin doğrulanmasıyla, Sertifikalar yeni bir anahtar çiftiyle
imzalanır.
Orijinal anahtar çifti kullanılarak düzenlenen son Sertifikanın sona erme tarihine ulaşılana
kadar, Üst SO, orijinal Üst SO kapalı anahtarıyla imzalanmış CRL’ler düzenlemeye devam
eder.
SO’nun Operasyonunun Durdurulması
Bir e-Güven SO’su, Managed PKI Müşterisi SO’su veya ASB Müşterisi SO’sunun operasyonu
durdurması gerektiği takdirde, e-Güven, SO’nun operasyonu durdurulmadan önce Aboneleri,
İtimat Eden Tarafları ve diğer ilgili kuruluşları bundan haberdar etmek için ticari açıdan gerekli
her türlü çabayı gösterir. SO’nun operasyonunun durdurulması gereken hallerde, e-Güven,
Müşteri SO’su durumunda ise ilgili Müşteri, bir operasyon durdurma planı hazırlayarak
Müşterilerin, Abonelerin ve İtimat Eden Tarafların zararını en aza indirir. Bu durdurma planları,
ilgili oldukları ölçüde aşağıdakileri hedefleyebilir:
•
•
•
•
•
•
•
•
•
•
Aboneler, İtimat Eden Taraflar ve Müşteriler gibi durdurmadan etkilenen taraflara ihbarda
bulunulması ve SO’nun durumu hakkında bilgi verilmesi.
Bu ihbarın maliyetlerinin karşılanması.
e-Güven’in SO’ya verdiği Sertifikanın iptali.
SO’nun arşivlerinin ve kayıtlarının SUH § 4.6’da belirtilen sürelerle saklanması.
Abone ve Müşteri destek servislerine devam edilmesi.
CRL’ler düzenlenmesi veya çevrim içi durum kontrol servislerinin korunması gibi iptal
servislerine devam edilmesi.
Gerekirse, son kullanıcı Abonelerin ve Alt SO’ların süresi dolmamış ve iptal edilmemiş olan
Sertifikalarının iptali.
Sertifikalarının süresi dolmamış ve iptal edilmemiş olan Abonelere, durdurma planı veya
hükmü çerçevesinde tazminat ödenmesi (gerekirse) veya alternatif olarak, başka bir SO’nun
bunun yerine yeni Sertifikalar düzenlemesi.
SO’nun kapalı anahtarının ve bu kapalı anahtarın saklandığı donanım elemanlarının
düzenlenmesi.
SO’nun servislerinin müteakip bir SO’ya geçişi için gereken hükümler.
5. Fiziksel, Prosedür ve Personel Güvenlik Kontrolleri
e-Güven, işbu SUH’un güvenlik şartlarını destekleyen e-Güven Güvenlik Politikasını
uygulamaya sokmuştur.
- 56 -
5.1
Fiziksel Kontroller
5.1.1 Tesisin Yeri ve Yapısı
e-Güven’in SO ve KO operasyonları, e-Güven’in, Güvenlik ve Denetim Şartlarını karşılayan
İstanbul Türkiye’deki tesislerinde yürütülür. Bütün e-Güven SO ve KO operasyonları, gizli veya
açık müdahaleleri durduracak, önleyecek ve tespit edecek şekilde tasarlanmış, fiziksel olarak
korunan bir ortam içinde yürütülür.
e-Güven’in ana tesisleri, SUH § 5.1.2’de tarif edilen yedi adede kadar fiziksel güvenlik
seviyesine sahiptir:
•
•
•
•
•
KO geçerlilik kontrol operasyonları Seviye 3’de yapılır
SO işlevleri Seviye 4’de yerine getirilir
VeriSign Roaming Sunucusu da dahil hassas sunucular Seviye 4’de bulunur
Çevrim içi SO şifreleme modülleri Seviye 5’de bulunur
Çevrim dışı SO şifreleme modülleri Seviye 7’de bulunur
Managed PKI Müşterileri, kendi bünyelerinde yürütecekleri operasyonlarla ilgili güvenli
tesislerinin Kuruluş Güvenlik Kılavuzundaki şartları karşılamasını sağlamalıdır.
5.1.2 Fiziksel Erişim
e-Güven SO sistemleri, 4 fiziksel güvenlik seviyesiyle korunur ve daha yüksek bir seviyeye
erişim yapılmadan önce alçak seviyelere erişilmelidir. Ayrıca, fiziksel güvenlik sistemi, anahtar
yönetimi güvenliği için üç ilave seviye içerir. Her bir seviyenin özellikleri ve şartları aşağıdaki
Tablo 15’de verilmiştir.
Seviye
Fiziksel
Güvenlik
Seviyesi 1
Fiziksel
Güvenlik
Seviyesi 2
Fiziksel
Güvenlik
Seviyesi 3
Tarif
Fiziksel Güvenlik Seviyesi 1,
tesis için en dış fiziksel
güvenlik duvarına karşılık
gelir.
Seviye 2, dinlenme odaları ve
ortak koridorlar da dahil ortak
alanları içerir.
Seviye
3,
gizli
SO
operasyonunun yapıldığı ilk
seviyedir.
Gizli
SO
operasyonu, kimlik kontrolü,
doğrulama ve düzenleme gibi
sertifikalandırma işlemleriyle
ilgili herhangi bir faaliyettir.
- 57 -
Erişim Kontrol Mekanizmaları
Bu seviyeye erişmek için bir personel giriş
kartı kullanılması gerekir. Bu seviyeye
fiziksel erişim otomatik olarak kayıtlara
geçirilir ve videoya kaydedilir.
Seviye 2, personel giriş kartı kullanılarak
herkes için SO tesisinin ortak alanlarına
bireysel erişim kontrolü sağlar. Seviye 2’ye
geçirilir.
Seviye 3, biyometri de dahil iki faktörlü
kimlik kontrolü kullanımıyla bireysel erişim
kontrolü
sağlar.
Güvenilir
olmayan
personelin veya ziyaretçilerin refakatçi
olmadan Seviye 3 güvenli alana girmesine
izin verilmez. Seviye 3’e fiziksel erişim
otomatik olarak kayıtlara geçirilir.
Seviye
Fiziksel
Güvenlik
Seviyesi 4
Tarif
Seviye 4, özellikle gizli SO
operasyonlarının
yapıldığı
seviyedir. İki ayrı Seviye 4
alanı vardır: çevrim içi Seviye
4 veri merkezi ve çevrim dışı
Seviye 4 anahtar yaratma
prosedürü odası.
Anahtar
Yönetimi
Seviyeleri 5-7
Anahtar Yönetimi seviyeleri
5-7, CSU’ların (kriptografik
imzalama
üniteleri)
ve
anahtarlama
malzemesinin
hem çevrim içi, hem de
çevrim dışı kaydını korur.
Erişim Kontrol Mekanizmaları
Seviye 4 veri merkezi bireysel erişim
kontrolünü, anahtar yaratma prosedürü odası
da ikili kontrolü sağlar; bu işlevlerin her biri,
biyometri de dahil iki faktörlü kimlik
kontrolü kullanılarak yerine getirilir.
Refakatçisiz Seviye 4 erişimi için
onaylanmış bireyler Güvenilen Personel
Politikasını karşılamalıdır. Seviye 4’e
geçirilir.
Çevrim içi CSU’lar kilitli kabinler
kullanılarak korunur. Çevrim dışı CSU’lar
ise kilitli kasalar, kabinler ve konteynerler
kullanılarak
korunur.
CSU’lara
ve
anahtarlama malzemesine erişim e-Güven’in
görev ayrım şartlarına göre sınırlandırılır. Bu
seviyelerde kabinlerin veya konteynerlerin
açılması ve kapanması denetim amaçlarıyla
kayıtlara geçirilir. Aşamalı sınırlayıcı fiziksel
erişim ayrıcalıkları her bir seviyeye erişimi
kontrol eder.
Tablo 15 – Fiziksel Güvenlik Seviyeleri
5.1.3 Elektrik ve Klima Sistemleri
e-Güven’in güvenli tesisleri aşağıdaki sistemlere ait ana ve yedek sistemlerle donatılmıştır:
•
•
Elektrik gücüne sürekli ve kesintisiz erişim sağlamak için elektrik sistemleri.
Sıcaklığı ve nispi nemi kontrol etmek için ısıtma/havalandırma/klima sistemleri.
5.1.4 Su Etkisi
e-Güven, suyun e-Güven sistemlerine etkisini en aza indirmek için makul önlemleri almalıdır.
5.1.5 Yangın Önleme ve Yangına Karşı Korunma
e-Güven, yangınları veya hasara yol açan diğer alev veya duman vakalarını önlemek ve
söndürmek için makul önlemleri almıştır. e-Güven’in yangın önleme ve korunma önlemleri
mahalli yangın emniyet yönetmeliklerine uygun şekilde tasarlanmıştır.
5.1.6 Araçların Saklanması
Üretimde kullanılan yazılım ve veriler ile denetim, arşiv veya yedekleme bilgilerini içeren bütün
araçlar e-Güven tesislerinde veya erişimi yetkili kişilerle sınırlandırılarak ve araçları kazayla
hasara (örneğin, su, yangın ve elektromanyetik) karşı koruyacak şekilde tasarlanarak, uygun
- 58 -
fiziksel ve lojik erişim kontrollerine sahip güvenli tesis dışı depolama tesislerinde muhafaza
edilir.
5.1.7 Atık Atma
Gizli dokümanlar ve malzemeler atılmadan önce kıyılır. Gizli bilgileri toplamak veya iletmek
için kullanılan araçlar atılmadan önce okunamaz hale getirilir. Şifreleme cihazları atılmadan önce
fiziksel olarak imha edilir veya imalatçının talimatlarına göre sıfırlanır. Diğer atıklar e-Güven’in
normal atık atma şartlarına göre atılır.
5.1.8 Tesis Dışı Yedekleme
e-Güven, kritik sistem verilerini, denetim kaydı verilerini ve diğer gizli bilgileri rutin olarak
yedekler.
5.2
Prosedür Kontrolleri
5.2.1 Güvenilen Şahıslar
Güvenilen Şahıslar arasında, aşağıda sayılan hususları maddi olarak etkileyebilecek kişiler,
kimlik kontrolü veya şifreleme operasyonlarına erişim veya kontrol yetkisine sahip bütün
çalışanlar, yükleniciler ve danışmanlar yer alır:
•
•
•
•
Sertifika Başvurularındaki bilgilerin doğrulanması.
Sertifika Başvuruları, iptal veya yenileme talepleri ya da kayıt bilgisiyle ilgili kabul, red veya
diğer işlemler.
Veri bankasının sınırlı bölümlerine erişim yetkisine sahip personel de dahil, Sertifikaların
düzenlenmesi veya iptali.
Abone bilgisinin veya taleplerinin işlenmesi.
Güvenilen Şahıslar arasında aşağıdakiler sayılabilir (ancak bunlarla sınırlı değildir):
•
•
•
•
•
•
Müşteri servis personeli.
Şifreleme işlemleri personeli.
Güvenlik personeli.
Sistem yönetim personeli.
Tayin edilmiş mühendislik personeli.
Altyapı güvenliğini yönetmek için tayin edilmiş yönetim personeli.
e-Güven, bu bölümde tanımlanan personel kategorilerini bir Güvenilen Konuma sahip Güvenilen
Şahıslar olarak kabul eder. Güvenilen Konuma sahip Güvenilen Şahıslar olmak isteyen kişiler
SUH § 5.3’deki seçim şartlarını tam olarak yerine getirmelidir.
- 59 -
5.2.2 Her Bir Görev için Gereken Kişi Sayısı
e-Güven, görevlerin sorumluluklara göre ayrılmasını sağlamak için bir politika ve sıkı kontrol
prosedürleri uygular. SO şifreleme donanımına (kriptografik imzalama ünitesi veya CSU) ve
ilgili anahtar malzemesine erişim gibi en hassas görevler birden fazla Güvenilen Şahıs gerektirir.
Bu dahili kontrol prosedürleri, cihaza fiziksel veya lojik erişime sahip olmak için en az iki
güvenilen personelin gerekli olmasını sağlayacak şekilde tasarlanmıştır. SO şifreleme
donanımına erişim, ilk alındığı ve kontrolden geçirildiği andan son lojik ve/veya fiziksel imhaya
kadar donanımın ömrü boyunca daima birden fazla Güvenilen Şahısla sağlanır. Bir modül, işlem
kodlarıyla devreye alındığında, cihaza hem fiziksel, hem de lojik erişim üzerinde ikili kontrol
sağlamak için süreklilik arz eden erişim kontrolleri uygulanır. Modüllere fiziksel erişime sahip
kişiler “Kapalı Anahtar Grubu Paylaşımı”na sahip değildir, “Kapalı Anahtar Grubu Paylaşımı”na
sahip olan kişiler de modüllere fiziksel erişime sahip değildir. SO kapalı anahtar aktivasyon
verileri ve Kapalı Anahtar Grubu Paylaşımı şartları SUH § 6.2.7’de verilmiştir.
Sınıf 3 Sertifikaların geçerliliğinin kontrolü ve düzenlenmesi gibi diğer operasyonlar en az iki
Güvenilen Şahsın katılımını gerektirir.
5.2.3 Her Bir Görev için Tanımlama ve Kimlik Kontrolü
Güvenilen Şahıs olmak isteyen tüm personel için kimlik doğrulaması, bu personelin, e-Güven
İnsan Kaynakları [veya eşdeğeri] ya da güvenlik işlevlerini yerine getiren Güvenilen Şahısların
huzurunda şahsen (fiziksel olarak) bulunmasını ve resmi kimlik belgelerinin (örneğin,
pasaportlar ve sürücü belgeleri) kontrolünü gerektirir.Kimlik, ayrıca, SUH § 5.3.1’deki mesleki
bilgi kontrol prosedürleriyle de doğrulanır.
e-Güven, önce personelin Güvenilen Konum elde ettiğinden emin olur ve bu personele
aşağıdakiler verilmeden önce departman onayı alınır:
•
•
5.3
Erişim cihazları ve gerekli tesislere erişim yetkisi.
e-Güven SO, KO veya diğer IT sistemlerine erişim ve bunlar üzerinde belirli işlevleri yerine
getirmek için elektronik kimlik belgeleri.
Personel Kontrolleri
5.3.1 Mesleki Bilgi, Nitelikler, Deneyim ve Resmi Makam İzinlerinin Şartları
Güvenilen Şahıs olmak isteyen personel, görev sorumluluklarını gerektiği gibi ve tatmin edici
şekilde yerine getirmesi için gereken mesleki bilgi, nitelik ve deneyim önşartının yanı sıra resmi
sözleşmeler altındaki sertifikalandırma hizmetlerini yerine getirmesi için gereken resmi makam
izinlerini (varsa) kanıtlayan belgeleri sunmalıdır. Güvenilen Konumda olan personel için mesleki
bilgi kontrolleri en az 5 yılda bir tekrarlanır.
- 60 -
5.3.2 Mesleki Bilgi Kontrol Prosedürleri
Personel bir Güvenilen Konumda çalışmaya başlamadan önce, e-Güven, aşağıdakileri içeren
mesleki bilgi kontrolleri yapar:
•
•
•
•
•
Önceki işinin doğrulanması
Mesleki referansın kontrolü
Aldığı en yüksek ve en çok ilişkili eğitim derecesinin doğrulanması
Adli sicil soruşturması
Vergi ve vatandaşlık numarası
Mahalli kanunlarda veya diğer koşullarda bir yasaklama veya sınırlama bulunmasından dolayı bu
bölümde belirtilen şartların herhangi birinin yerine getirilememesi durumunda, e-Güven, ilgili
resmi makam tarafından mesleki bilgi kontrolü temin edilmesi de dahil olmak ve fakat bununla
sınırla kalmamak şartıyla, kanunların izin verdiği ölçüde benzer bilgiler veren bir alternatif
araştırma tekniği kullanır.
Bir mesleki bilgi kontrolünde ortaya çıkan ve Güvenilen Şahıs adaylarının reddedilmesi yol açan
ya da mevcut bir Güvenilen Şahsa karşı belirli bir hareket tarzının uygulanması için zemin
oluşturduğu düşünülebilecek faktörler genel olarak aşağıda sıralanmaktadır:
•
•
•
Aday veya Güvenilen Şahsın hatalı veya yanıltıcı beyanlarda bulunması.
Büyük ölçüde olumsuz veya güvenilir olmayan kişisel referanslar.
Belirli suçlardan hüküm giymiş olma.
İnsan kaynakları ve güvenlik personeli bu bilgileri içeren raporları değerlendirir ve mesleki bilgi
kontrolüyle ortaya çıkan davranışın tipi, büyüklüğü ve sıklığı ışığında uygun hareket tarzını
belirler. Bu hareket tarzları arasında, Güvenilen Konum adaylarına yapılan iş tekliflerinin iptal
edilmesi veya mevcut Güvenilen Şahısların konumlarının sona erdirilmesi gibi önlemler
sayılabilir.
Bir mesleki bilgi kontrolünde ortaya çıkan bilginin hareket tarzını belirlemede kullanılması, ilgili
mevzuat hükümleri ve sözleşmelere göre tespit edilir.
5.3.3 Eğitim Şartları
e-Güven, işe yeni aldığı personelini eğitimden geçirir ve personelinin iş sorumluluklarını
gerektiği gibi ve tatmin edici düzeyde yerine getirmesi için gereken meslek içi eğitim
zorunludur. e-Güven eğitim programlarını periyodik olarak gözden geçirir ve gerekirse geliştirir.
e-Güven’in eğitim programları bireylerin sorumluluklarına göre hazırlanır ve aşağıdakilerden
gerekli olanları içerir:
•
•
Temel PKI kavramları.
İş sorumlulukları.
- 61 -
•
•
•
•
e-Güven güvenlik ve operasyon politikaları ve prosedürleri.
Kurulan donanım ve yazılımın kullanımı ve işletimi.
Olay ve Tehdit raporlama ve işlemleri.
Felaketten Kurtarmaı ve iş devamlılığı prosedürleri.
5.3.4 Eğitim Sıklığı ve Şartları
e-Güven, personeline, iş sorumluluklarını gerektiği gibi ve tatmin edici düzeyde yerine getirmesi
ve gerekli uzmanlık seviyesini muhafaza etmesini sağlamak için gereken ölçüde ve sıklıkta bilgi
güncelleme eğitimi verir. Periyodik güvenlik bilinci eğitimi devamlı olarak verilmektedir.
5.3.5 İş Rotasyon Sıklığı ve Sırası
Koşul yoktur.
5.3.6 Yetkisiz Eylemlere Karşı Yaptırımlar
Yetkisiz eylemler veya e-Güven politikalarının ve prosedürlerinin başka şekillerde ihlali
durumunda gereken disiplin önlemleri alınır. Disiplin önlemleri arasında sertifikanın iptali
sayılabilir ve bu önlemler yetkisiz eylemlerin sıklığı ve derecesiyle orantılıdır.
5.3.7 Sözleşmeli Personel Şartları
Sınırlı durumlarda, Güvenilen Konumları doldurmak için bağımsız yükleniciler veya
danışmanlar kullanılabilir. Bu yükleniciler veya danışmanlar, eşdeğer konumdaki e-Güven
personeliyle aynı mesleki koşullara ve güvenlik koşullarına tâbi tutulur.
SUH § 5.3.2’de belirtilen mesleki bilgi kontrol prosedürlerini tamamlamamış olan bağımsız
yüklenicilerin ve danışmanların e-Güven güvenli tesislerine ancak refakatçi eşliğinde ve
doğrudan Güvenilen Şahısların nezareti altında girmesine izin verilir.
5.3.8 Personele Verilen Dokümanlar
e-Güven’in PKI servislerinin işletimiyle ilgili e-Güven personelinin bu SUH’u, VTN’in SP’sini
ve e-Güven Güvenlik Politikasını okuması gerekir. e-Güven, personeline, iş sorumluluklarını
gerektiği gibi ve tatmin edici düzeyde yerine getirmesi için gerekli zorunlu eğitimi ve diğer
dokümanları verir.
6. Teknik Güvenlik Kontrolleri
6.1
Anahtar Çifti Yaratma ve Kurma
6.1.1 Anahtar Çifti Yaratma
SO anahtar çifti yaratma işlemi, yaratılan anahtarlar için güvenliği ve gerekli şifreleme gücünü
temin eden Güvenilir Sistemler kullanılarak, önceden seçilmiş birden fazla eğitimli ve güvenilen
- 62 -
şahıslarca yerine getirilir. PCA için ve Sertifika Veren Kök SO’lar için, anahtar yaratmada
kullanılan şifreleme modülleri FIPS 140-1 Seviye 3 şartlarını karşılar. Diğer SO’lar (e-Güven
SO’ları ve Managed PKI Müşterisi SO’ları dahil) için, kullanılan şifreleme modülleri en azından
FIPS 140-1 Seviye 2 şartlarını karşılar.
Bütün SO anahtar çiftleri, önceden planlanmış Anahtar Yaratma Prosedürlerinde, Anahtar
Yaratma Prosedürü Referans Kılavuzunun, SO Anahtar Yönetim Aracı Kullanma Kılavuzunun
ve Güvenlik ve Denetim Şartları Kılavuzunun şartlarına göre yaratılır. Her bir anahtar yaratma
prosedüründe yapılan faaliyetler, katılan bütün bireylerce kaydedilir, tarih atılır ve imzalanır. Bu
kayıtlar denetim ve izleme amacıyla, e-Güven Yönetiminin uygun gördüğü süreyle saklanır.
KO anahtar çiftleri, genelde, web tarama yazılımına sahip bir FIPS 140-1 Seviye 1 onaylı
şifreleme modülü kullanılarak KO tarafından yaratılır.
Managed PKI Müşterileri, Otomatik Yönetim sunucularının kullandığı kod çiftini yaratır. eGüven, Otomatik Yönetim sunucusu anahtar çifti yaratma işleminin bir FIPS 140-1 Seviye 2
onaylı şifreleme modülü kullanılarak yerine getirilmesini tavsiye eder.
Son kullanıcı anahtar çiftleri genelde Abone tarafından yaratılır. Sınıf 1 Sertifikalar, Sınıf 2
Sertifikalar ve Sınıf 3 anahtar/nesne imzalama Sertifikaları için, Abone, tipik olarak, anahtar
yaratma için web tarayıcı yazılımına sahip bir FIPS 140-1 Seviye 1 onaylı şifreleme modülü
kullanır. Sunucu Sertifikaları için, Abone, tipik olarak, web sunucu yazılımına sahip anahtar
yaratma ünitesi kullanır.
6.1.2 Kuruluşa Özel Anahtar Verilmesi
Son kullanıcı Abone anahtar çiftleri tipik olarak son kullanıcı Abone tarafından yaratılır; bu
nedenle, bu gibi durumlarda bir Aboneye özel anahtar verilmesi söz konusu değildir.
KO veya son kullanıcı Abone anahtar çiftlerinin, donanım elemanlarında veya akıllı kartlarda
önceden yaratılmış olduğu durumlarda, bu cihazlar, ticari teslimat servisi ve yetkisiz kişiler
tarafından erişimi gösterir ambalaj kullanılarak KO’ya veya son kullanıcı Aboneye dağıtılır.
Cihazı devreye sokmak için gereken aktivasyon verileri, bir bant dışı proses kullanılarak KO’ya
veya son kullanıcı Aboneye iletilir. e-Güven bu cihazların dağıtımını kaydeder.
Anahtar kurtarma servisleri için Managed PKI Key Manager’ı kullanan Managed PKI
Müşterileri için, Müşteri, şifreleme anahtar çiftleri yaratabilir (Sertifika Başvurularını
onayladıkları Aboneler adına) ve bu anahtar çiftlerini, şifre korumalı bir PKCS # 12 dosya
vasıtasıyla Abonelere iletebilir.
6.1.3 Sertifika Düzenleyiciye Açık Anahtar Verilmesi
Son kullanıcı Aboneler ve KO’lar, Güvenli Soketler Seviyesince (SSL) güvenliği sağlanan bir
oturumda bir PKCS#10 Sertifika İmzalama Talebi (CSR) veya başka dijital imzalı paket
kullanarak elektronik sertifikalandırma için açık anahtarlarını e-Güven’e sunarlar. SO, KO veya
son kullanıcı Abone anahtar çiftlerinin e-Güven tarafından yaratılması durumunda bu şart geçerli
değildir.
- 63 -
6.1.4 Kullanıcılara SO Açık Anahtarının Verilmesi
e-Güven, PCA’ları ve kök SO’ları için olan SO Sertifikalarını, Microsoft ve Netscape web
tarayıcı yazılımını dahil ederek Abonelerin ve İtimat Eden Tarafların kullanımına sunar. Yeni
PCA ve kök SO Sertifikaları yaratıldığında, e-Güven, yeni tarayıcı sürümlerine ve
güncellemelerine dahil edilmek üzere bu yeni Sertifikaları web tarayıcı üreticilerine verebilir.
e-Güven, genelde, Sertifikanın düzenlenmesiyle birlikte son kullanıcı Aboneye tüm sertifika
zincirini (düzenleyici SO ve zincirdeki herhangi bir SO dahil) verir. e-Güven SO Sertifikaları da
directory.e-guven.com adresindeki e-Güven LDAP Dizininden indirilebilir.
6.1.5 Anahtarların Büyüklüğü
e-Güven SO anahtar çiftleri, kod çifti 1000 bit RSA olan eski versiyon RSA Güvenli Sunucu
SO’su hariç olmak üzere en az 1024 bit RSA büyüklüğündedir. VeriSign’ın üçüncü kuşak (G3)
PCA’ları 2048 bit RSA kod çiftlerine sahiptir. e-Güven, Kayıt Otoritelerinin ve son kullanıcı
Abonelerin 1024 bit RSA anahtar çiftleri yaratmasını tavsiye eder, fakat bazı eski versiyon
uygulamaları ve web sunucuları desteklemek için 512 bit RSA anahtar çiftleri kullanılmasına da
izin verir.
6.1.6 Genel Kod Parametrelerinin Yaratılması
İlgili değildir.
6.1.7 Parametre Kalitesi Kontrolü
İlgili değildir.
6.1.8 Donanım/Yazılım aNAHTARI Yaratılması
e-Güven, SO anahtar çiftlerini uygun donanım şifreleme modüllerinde SUH § 6.2.1’e göre
yaratır. KO ve son kullanıcı Abone anahtar çiftleri donanımda veya yazılımda yaratılabilir.
6.1.9 Anahtar Kullanımının Amaçları
X.509 Versiyon 3 Sertifikalar için, e-Güven, genelde, Sertifikaların Anahtar Kullanım ekini RFC
2459: Internet X.509 Açık Anahtar Altyapısı Sertifikasına ve Ocak 1999 CRL Profiline göre
yayınlar. VeriSign X.509 Versiyon 3 Sertifikalarda Anahtar Kullanım eki, aşağıdaki istisnalar
doğrultusunda Tablo 16’ya göre yayınlanır:
•
•
•
•
Anahtar Kullanım eki, Global Sunucu Kimlikleri, Sınıf 1 bireysel Sertifikalar ve Sınıf 2
bireysel Sertifikalar için kullanılmaz.
Anahtar Kullanım ekinin önem derecesi, E-Güven Sınıf 3 Managed PKI Kimlik Kontrol
Servisleri Bürosu SO’su için TRUE’ya ayarlanır.
Managed PKI Key Manager vasıtasıyla ikili anahtar çifti imzalı Sertifikalar için red koruması
bit ayarına izin verilir.
Anahtar Kullanım ekinin önem derecesi, gelecekteki başka Sertifikalar için TRUE’ya
ayarlanabilir.
- 64 -
CA’lar
Önem Derecesi
0 digitalSignature
1 nonRepudiation
2 keyEncipherment
3 dataEncipherment
4 keyAgreement
5 keyCertSign
6 CRLSign
7 encipherOnly
8 decipherOnly
İkili Anahtar
Çifti İmzası
(Managed PKI
Key Manager)
İkili Anahtar
Çifti Şifreleme
(Managed PKI
Key Manager)
FALSE
Sınıf 3 Sunucu
ve
Anahtar/Nesne
İmzalama Son
Kullanıcı
Aboneler;
Otomatik
Yönetim
Elemanları
FALSE
FALSE
FALSE
Clear
Set
Set
Clear
Clear
Clear
Clear
Clear
Clear
Set
Clear
Set
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Set
Clear
Clear
Clear
Set
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Tablo 16 – Anahtar Kullanım Ekinin Ayarları
Bazı SO ve son kullanıcı Abone Sertifikaları X.509 Versiyon 1 Sertifikalardır (Bkz. SUH
§ 7.1.1) ve bu yüzden de Anahtar Kullanım ekinin kullanımını desteklemezler. Kapalı Anahtar
Koruması. e-Güven, e-Güven, Managed PKI Müşterisi ve ASB Müşterisi SO’sunun kapalı
anahtarlarının güvenliğini sağlamak için fiziksel, lojik ve prosedür kontrollerinden oluşan bir
kombinasyonu uygulamıştır. Lojik ve prosedür kontrolleri SUH § 6.2’de tarif edilmektedir.
Fiziksel erişim kontrolleri SUH § 5.1.2’de tarif edilmektedir. Abonelerin, sözleşmeyle, kapalı
anahtarların kaybını, ifşasını, değiştirilmesini ve yetkisiz kullanımını önlemek için gerekli
önlemleri alması istenir.
6.1.10 Şifreleme Modülleri için Standartlar
PCA ve Sertifika Düzenleyen Kök SO anahtar çifti yaratma ve SO kapalı anahtar saklama
işlemleri için, VeriSign ve e-Güven, FIPS 140-1 Seviye 3’de onaylanmış veya onun şartlarını
karşılayan donanım şifreleme modülleri kullanır. Diğer SO’lar için, e-Güven, en az FIPS 140-1
Seviye 2’de onaylanmış donanım şifreleme modülleri kullanır.
6.1.11 Kapalı Anahtarın (m/n) Birden Fazla Şahısça Kontrolü
e-Güven, hassas SO şifreleme işlemlerinin yerine getirilmesi için birden fazla güvenilen şahsın
katılımını gerektiren teknik ve prosedür mekanizmaları uygulamaya koymaktadır. e-Güven, bir
SO kapalı anahtarını kullanmak için gereken aktivasyon verilerini “Kapalı Anahtar Grubu
Sahipleri” olarak adlandırılan eğitimli ve güvenilen şahısların sahip olduğu “Kapalı Anahtar
Grupları” isimli ayrı kısımlara ayırmak için “Kapalı Anahtar Grubu Paylaşımı”nı kullanır.
- 65 -
Modüle kayıtlı bir SO kapalı anahtarını etkinleştirmek için, belirli bir donanım şifreleme modülü
için yaratılan ve dağıtılan toplam Kapalı Anahtar Grubu (n) içindeki eşik sayıda Kapalı Anahtar
Grubu (m) gereklidir. Aşağıdaki Tablo 17, farklı tipte e-Güven SO’ları için gerekli anahtar grubu
eşik sayısını ve dağıtılan toplam anahtar grubu sayısını gösterir. Felaketten Kurtarma Servisi
elemanları için dağıtılan anahtar grubu sayısının operasyon elemanları için dağıtılan sayıdan az
olduğuna, gerekli anahtar grubu eşik sayısının ise aynı kaldığına dikkat edilmelidir. Kapalı
Anahtar Grupları SUH § 6.4.2’ye göre korunur.
Kuruluş
Sınıf 1 PCA
Sınıf 2 PCA
Sınıf 3 PCA
Sınıf 1 SO ve alt
SO’lar
Sınıf 2 SO ve alt
SO’lar
Sınıf 3 SO ve alt
SO’lar
Sertifikalarını
İmzalamak amacıyla
SO’nun
Kapalı
Anahtarını
Etkinleştirmek
için
Gerekli
Kapalı
Anahtar
Grubu
Paylaşımları
ilgili değil
ilgili değil
ilgili değil
SO’ların
Sertifikasını
İmzalamak
için
Gereken
Kapalı
Anahtar
Grubu
Paylaşımları
Toplam
Dağıtılan
Kapalı
Anahtar
Grubu
Paylaşımları
Felaketten Kurtrma
Paylaşımları
ı
Gerekli
Paylaşımlar
Toplam
Paylaşımlar
3
3
3
3
3
3
3
3
12
12
12
5
3
5
5
5
5
3
3
5
3
5
3
3
5
3
5
Tablo 17 – Kapalı Anahtar Paylaşımı Dağılım ve Eşikleri
6.1.12 Kapalı Anahtarın Geçici Olarak Üçüncü Şahıslara Verilmesi
e-Güven, SO, KO veya son kullanıcı Abonelerin kapalı anahtarlarını, resmi makamların erişimi
amacıyla dahi olsa herhangi bir üçüncü şahsa vermez.
Managed PKI Key Manager’ı kullanan Managed PKI Müşterileri, Sertifika Başvurularını
onayladıkları Abonelerin kapalı anahtarlarının kopyalarını geçici olarak üçüncü şahıslara
verebilir. e-Güven, Abonelerin kapalı anahtarlarının kopyalarını saklamaz, fakat aşağıda tarif
edilen Abone anahtarı kurtarma sürecinde önemli bir rol oynar.
•
•
Yedeklenen her bir son kullanıcı anahtar çifti için Managed PKI Key Manager, rasgele
olarak, Müşterinin tesisindeki yedeklenmiş kapalı anahtarı şifrelemek için kullanılan bir
simetrik anahtar yaratır. Bu şifrelenmiş kapalı anahtar daha sonra Müşterinin tesisindeki
yerel veri tabanında saklanır. Simetrik anahtar, aynı zamanda, e-Güven anahtar kurtarma
servisine ait bir açık anahtar kullanılarak da şifrelenir ve Müşterinin tesisindeki yerel veri
tabanında saklanır.
Bir son kullanıcının yedeklenmiş kapalı anahtarının kurtarılması gerektiğinde, Managed PKI
İdarecisi, Müşterinin tesisinde Key Manager’ın sakladığı anahtar tarihçesini kullanarak
uygun anahtarı tanımlar ve buna karşılık gelen şifrelenmiş simetrik anahtarı e-Güven Anahtar
Kurtarma Servisine gönderir. e-Güven Anahtar Kurtarma Servisi şifreyi çözerek simetrik
- 66 -
anahtarı geri gönderir ve bu anahtar yerel olarak kullanılarak veri tabanından son kullanıcının
kapalı anahtarının şifresi çözülür. Bu anahtar ve buna karşılık gelen sertifika böylece son
kullanıcıya tekrar dağıtılabilir.
6.1.13 Kapalı Aanahtarın Yedeklenmesi
e-Güven, rutin ve felaketten kurtarma amaçlarıyla SO kapalı anahtarlarının yedek kopyalarını
yapar. Bu anahtarlar donanım şifreleme modüllerinde ve ilgili anahtar saklama cihazlarında
şifrelenmiş formda saklanır. SO kapalı anahtarlarının saklanmasında kullanılan şifreleme
modülleri SUH § 6.2.1’in şartlarını karşılar. So kapalı anahtarları SUH § 6.2.6’ya göre
yedekleme donanım şifreleme modüllerine kopyalanır.
SO kapalı anahtarlarının tesis içi yedek kopyalarını içeren modüller SUH §§ 5.1, 6.2.1’in
şartlarına tâbidir. SO kapalı anahtarlarının felaketten kurtarma kopyalarını içeren modüller SUH
§ 4.8.2’nin şartlarına tâbidir.
e-Güven KO kapalı anahtarlarının kopyalarını saklamaz. Son kullanıcı Abone kapalı
anahtarlarının yedeklenmesi için Bkz. SUH § 6.2.3.
6.1.14 Kapalı Anahtarların Arşivlenmesi
e-Güven SO anahtar çiftleri geçerlilik süresinin sonuna ulaştığında bu SO anahtar çiftleri en az 5
yıl süreyle arşivlenir. Arşivlenen SO anahtar çiftleri, SUH § 6.2.1’in şartlarını karşılayan
donanım şifreleme modülleri kullanılarak güvenli biçimde saklanır. Prosedür kontrolleri,
arşivlenen SO anahtar çiftlerinin üretim kullanımına dönmesini önler. Arşiv süresinin sonunda,
arşivlenmiş SO kapalı anahtarları SUH § 6.2.9’a göre güvenli biçimde imha edilir.
e-Güven, KO ve Abone kapalı anahtarlarının kopyalarını arşivlemez.
6.1.15 Kapalı Anahtarların Şifreleme Modülüne Girilmesi
e-Güven, SO anahtar çiftlerini kodların kullanılacağı donanım şifreleme modüllerinde yaratır. eGüven, ayrıca, rutin ve felaketten kurtarma amaçlarıyla bu SO anahtar çiftlerinin kopyalarını
yapar. SO anahtar çiftlerinin başka bir donanım şifreleme modülünde yedeklenmesi durumunda
bu anahtar çiftleri modüller arasında şifrelenmiş formda aktarılır.
6.1.16 Kapalı Anahtarları Etkinleştirme Yöntemleri
Bütün e-Güven Altalanı Katılımcıları, kapalı anahtarlarına ait aktivasyon verilerini kaybolmaya,
çalınmaya, değiştirilmeye, izinsiz ifşa edilmeye veya yetkisiz kullanıma karşı koruması gerekir.
6.1.16.1
Son Kullanıcı Abone Kapalı Anahtarları
Bu bölüm, son kullanıcı Abonelerin kapalı anahtarlarına ait etkinleştirme verilerinin VTN
Standartlarını e-Güven Altalanına uygular. Ayrıca, Aboneler, akıllı kartların, biyometrik erişim
cihazlarının ve kapalı anahtar kaydı için diğer donanım elemanlarını içeren, günümüzde mevcut
geliştirilmiş kapalı anahtar koruma mekanizmalarını kullanma ihtiyarına sahiptir. İki faktörlü
- 67 -
kimlik kontrol mekanizmasının kullanımı (örneğin, eleman ve parola, biyometrik ve eleman ya
da biyometrik ve parola) teşvik edilir.
6.1.16.1.1 Sınıf 1 Sertifikalar
Sınıf 1 kapalı anahtar koruması için VTN Standardı, Abonelerin izni olmadan Abonelerin iş
istasyonlarının ve ilgili kapalı anahtar kullanımını önlemek amacıyla iş istasyonlarının fiziksel
olarak korunması için Abonelerin ticari açıdan makul önlemleri alması içindir. Ayrıca, e-Güven,
Abonelerin, örneğin kapalı anahtar kullanımı için bir şifre, bir Windows oturum açma veya ekran
koruyucu şifre ya da bir ağ oturumu açma şifresi içeren kapalı anahtarı etkinleştirmeden önce
Abonenin kimlik kontrolü için SUH § 6.4.1’e göre bir şifre kullanmasını veya eşdeğer güçte bir
güvenlik uygulamasını tavsiye eder.
6.1.16.1.2 Sınıf 2 Sertifikalar
Sınıf 2 kapalı anahtar koruması için VTN Standardı, Abonelerin aşağıdaki işlemleri
gerçekleştirmesini gerekli kılar:
•
•
Örneğin kapalı anahtar kullanımı için bir şifre, bir Windows oturum açma veya ekran
koruyucu şifre, bir ağ oturumu açma şifresi ya da e-Güven Roaming Servisiyle bağlantılı bir
şifre içeren kapalı anahtar etkinleştirmeden önce Abonenin kimlik kontrolü için SUH §
6.4.1’e göre bir şifre kullanımı veya eşdeğer güçte bir güvenlik uygulaması.
Abonelerin izni olmadan Abonelerin iş istasyonlarının ve ilgili kapalı anahtar kullanımını
önlemek amacıyla iş istasyonlarının fiziksel olarak korunması için ticari açıdan makul
önlemleri alması.
Kapalı anahtar etkinliği kaldırıldığında sadece şifrelenmiş formda saklanır.
6.1.16.1.3 İdareci Sertifikaları Haricindeki Sınıf 3 Sertifikalar
Sınıf 3 kapalı anahtar koruması için VTN Standardı (İdareciler hariç) Abonelerin aşağıdaki
faaliyetleri içindir:
•
•
Kapalı anahtar etkinleştirmeden önce Abonenin kimlik kontrolü için bir akıllı kart, başka bir
şifreleme donanım cihazı, biyometrik erişim cihazı, şifre (e-Güven Roaming Servisiyle
bağlantılı) veya eşdeğer güçte bir güvenlik uygulaması.
Abonelerin izni olmadan Abonelerin iş istasyonlarının, sunucularının ve ilgili kapalı
anahtarının kullanımını önlemek amacıyla iş istasyonlarının fiziksel olarak korunması için
ticari açıdan makul önlemleri alması.
SUH § 6.4.1’e göre bir akıllı kart, başka bir şifreleme donanım cihazı veya biyometrik erişim
cihazıyla birlikte bir şifre kullanılması tavsiye edilir. Kapalı anahtarın etkinliği kaldırıldığında
sadece şifrelenmiş formda saklanır.
- 68 -
6.1.16.2
İdarecilerin Kapalı anahtarları
6.1.16.2.1 İdareciler
İdarecilerin kapalı anahtar koruması için VTN Standardı İdarecilerin aşağıdaki işlemleri
gerçekleştirilmesini gerekli kılar:
•
•
Örneğin kapalı anahtarın kullanımı için bir şifre, bir Windows oturum açma veya ekran
koruyucu şifre ya da bir ağ oturumu açma şifresi içeren kapalı anahtarı etkinleştirmeden önce
Abonenin kimlik kontrolü için SUH § 6.4.1’e göre bir akıllı kart, biyometrik erişim cihazı
veya şifre kullanımı ya da eşdeğer güçte bir güvenlik uygulaması.
İdarecilerin izni olmadan İdarecilerin iş istasyonlarının ve ilgili kapalı anahtarı kullanımını
önlemek amacıyla iş istasyonlarının fiziksel olarak korunması için ticari açıdan makul
önlemleri alması.
Kapalı anahtarı etkinleştirmeden önce İdarecinin kimlik kontrolü için SUH § 6.4.1’e göre bir
akıllı kart, biyometrik erişim cihazıyla birlikte bir şifre kullanılması tavsiye edilir.
Kapalı anahtarın etkinliği kaldırıldığında sadece şifrelenmiş formda saklanır.
6.1.16.2.2 Bir Şifreleme Modülü (Otomatik Yönetimli veya Managed PKI Key Manager Servisli)
kullanan Managed PKI İdarecileri
Bir şifreleme modülü kullanan İdareciler için kapalı anahtar koruması VTN Standardı,
İdarecilerin aşağıdaki işlemleri gerçekleştirilmesini gerekli kılar:
:
• Kapalı anahtarı etkinleştirmeden önce İdarecinin kimlik kontrolü için SUH § 6.4.1’e göre bir
şifreyle birlikte şifreleme modülünün kullanılması.
• İdarecilerin izni olmadan iş istasyonlarının ve şifreleme modülüyle ilgili kapalı anahtarın
kullanımını önlemek amacıyla şifreleme modülü kullanıcısını içeren iş istasyonlarının
fiziksel olarak korunması için ticari açıdan makul önlemleri alması.
6.1.16.3
e-Güven’in Kapalı anahtarları
e-Güven SO kapalı anahtarları, aktivasyon verilerini (elemanlar veya parolalar) SUH § 6.2.2’ye
göre veren eşik sayıda Kapalı Anahtar Grubu Sahibince etkinleştirilir. e-Güven’in çevrim dışı
SO’ları için, SO kapalı anahtar bir oturum için etkinleştirilir (örneğin, bir Alt SO’nun
sertifikalandırılması veya bir PCA’nın bir CRL’yi imzalaması için) ve ardından etkinliği
kaldırılır ve modül, güvenli saklamaya döndürülür. e-Güven’in çevrim içi SO’ları için, SO kapalı
anahtarı sınırsız bir süreyle etkinleştirilir ve SO çevrim dışına alınana kadar (örneğin, sistem
bakımı için) modül, üretim veri merkezinde çevrim içi kalır. e-Güven Kapalı Anahtar Grubu
Sahiplerinin Kapalı Anahtar Gruplarını korumaları ve Kapalı Anahtar
Grubu Sahibi
sorumluluklarını kabul ettiklerini gösteren bir anlaşma imzalamaları gerekir.
- 69 -
6.1.17 Kapalı Anahtarın Etkinliğini Kaldırma Yöntemi
e-Güven SO kapalı anahtarı eleman okuyucudan çıkarıldıklarında etkinlikleri kaldırılır. Sistem
oturumu kapandığında e-Güven KO kapalı anahtarı (KO başvurusunda kimlik kontrolü için
kullanılır) etkinliği kaldırılır. e-Güven KO’larının, çalışma alanlarından ayrılırken iş
istasyonlarını oturumdan çıkarmaları gerekir.
İstemci İdarecileri, KO ve son kullanıcı Abone kapalı anahtarları her bir operasyondan sonra,
sistemleri oturumdan çıktığında veya bir akıllı kart akıllı kart okuyucudan çıkarıldığında,
kullanıcının kullandığı kimlik kontrol mekanizmasına bağlı olarak etkinliği kaldırılabilir. Her
durumda, son kullanıcı Aboneler, kendi kapalı anahtarlarını SUH §§ 2.1.3, 6.4.1’e göre uygun
şekilde koruma sorumluluğu taşır.
6.1.18 Kapalı Anahtar İmha Yöntemi
Bir e-Güven SO’sunun geçerlilik süresi sonunda SO kapalı anahtarının bir veya daha fazla
kopyası SUH § 6.2.5’e göre arşivlenir. SO kapalı anahtarının diğer kopyaları güvenli biçimde
imha edilir. Ayrıca, arşivlenen SO kapalı anahtarı arşiv süreleri sonunda güvenli biçimde imha
edilir. SO anahtarı imha faaliyetleri birden fazla güvenilen şahsın katılımını gerektirir.
Gereken durumlarda, e-Güven, SO kapalı anahtarını, anahtarın tekrar oluşturulmasına yol
açabilecek anahtar izlerinin bulunmamasını sağlayacak şekilde imha eder.
e-Güven, SO kapalı anahtarının tam imhasını sağlamak için donanım şifreleme modüllerinin
sıfırlama işlevinden ve diğer uygun araçlardan yararlanır. Yerine getirilen SO anahtar imha
faaliyetleri kayıtlara geçirilir.
6.2
Anahtar Çifti Yönetiminin Diğer Yönleri
6.2.1 Açık Anahtarın Arşivlenmesi
e-Güven SO, KO ve son kullanıcı Abone Sertifikaları, e-Güven’in rutin yedekleme
prosedürlerinin bir parçası olarak yedeklenir ve arşivlenir.
6.2.2 Açık ve Kapalı Anahtarların Kullanım Süreleri
Bir Sertifikanın Geçerlilik Süresi, Sertifikanın süresi dolduğunda veya iptal edildiğinde sona
erer. Anahtar çiftlerinin geçerlilik süresi, ilgili Sertifikaların Geçerlilik Süreleriyle aynıdır, ancak
kapalı anahtarlar şifre çözmek için, açık anahtarlar da da imza doğrulamak için kullanılmaya
devam edilebilir. Bu SUH’un yürürlük tarihinde veya daha sonra düzenlenen e-Güven
Sertifikaları için maksimum Geçerlilik Süreleri aşağıdaki Tablo 18’de verilmiştir.
Ayrıca, e-Güven SO’ları, SO’nun Sertifikasının süresi dolmandan önce uygun bir tarihte (bir Alt
SO’nun düzenlediği hiçbir Sertifikanın süresi, herhangi bir Üst SO Sertifikasının süresi sona
erdikten sonra dolmayacak şekilde) yeni Sertifikalar düzenlemeyi durdurur.
- 70 -
Sertifikayı Düzenleyen:
PCA kendinden imzalı (1024
bit)
PCA kendinden imzalı (2048
bit)
Kendinden İmzalı, Sertifika
Düzenleyen Kök SO’lar
SO için PCA
Alt SO için SO
Son kullanıcı Abone için SO
Sınıf 1
30 yıla kadar
Sınıf 2
30 yıla kadar
Sınıf 3
30 yıla kadar
50 yıla kadar
50 yıla kadar
50 yıla kadar
İlgili değildir
İlgili değildir
10 yıla kadar
10 yıla kadar
5 yıla kadar
2 yıla kadar
10 yıla kadar
5 yıla kadar
Normalde 2 yıla
kadar,
fakat
aşağıda
tarif
edilen koşullarda
5 yıla kadar
10 yıla kadar
5 yıla kadar
Normalde 2 yıla
kadar,
fakat
aşağıda
tarif
edilen koşullarda
5 yıla kadar
Tablo 18 – Sertifika Geçerlilik Süreleri
Bu bölümde belirtilmedikçe, e-Güven Altalanı katılımcıları, kullanım süreleri dolduktan sonra
anahtar çiftlerinin tüm kullanımını durduracaktır.
SO’ların son kullanıcı Aboneler için düzenlediği Sertifikaların Geçerlilik Süreleri, aşağıdaki
şartlar karşılandığı takdirde iki yıldan uzun olabilir. Bu süreler maksimum beş yıldır.
•
•
•
•
•
Sertifikalar bireysel Sertifikalardır.
Abonenin anahtar bir akıllı kart gibi bir donanım elemanı üzerinde bulunmaktadır.
Abonelerin her yıl SUH § 3.1.9 altında tekrar kimlik kontrolü prosedürlerine tâbi tutulması
gerekir.
Aboneler her yıl Sertifikadaki açık anahtara karşılık gelen kapalı anahtara sahip olduklarını
kanıtlayacaklardır.
Bir Abone SUH § 3.1.9 altında tekrar kimlik kontrolü prosedürlerini başarıyla
tamamlayamıyorsa veya yukarıdaki paragrafa göre kapalı anahtara sahip olduklarını ispat
edimiyorsa, SO, Abonenin Sertifikasını otomatik olarak iptal eder.
e-Güven, VeriSign Trust Network’ün bir parçası olan bazı eski versiyon, kendinden imzalı
sertifika düzenleyen kök SO’ları da işletir. SO’ların düzenlediği son kullanıcı Abone
Sertifikaları, aşağıdaki Tablo 18’de belirtilen ve SO’lar için son kullanıcı Abone Sertifikalarının
şartlarını karşılar. Bu SO’lar için şartlar aşağıdaki Tablo 19’da açıklanmıştır.
SO Sertifikasını Düzenleyen:
SO
Sertifikası Düzenlenen
Son
Geçerlilik Süresi
Kullanıcı
Abone
Sertifikalarının Sınıfı
SO’su 15 yıla kadar
VTN Sınıf 3’e eşdeğer
RSA
Güvenli
Sunucu
(kendinden imzalı)
Ticari Yazılım Yayıncıları SO’su 10 yıla kadar
(kendinden imzalı)
- 71 -
SO Sertifikasını Düzenleyen:
SO
Sertifikası Düzenlenen
Son
Geçerlilik Süresi
Kullanıcı
Abone
Sertifikalarının Sınıfı
VeriSign Zaman Damgası Basma 10 yıla kadar
Kök SO’su (kendinden imzalı)
Tablo 19 – Eski Versiyon Sertifika Düzenleme Kök SO’ları için Şartlar
6.3
Aktivasyon Verileri
6.3.1 Aktivasyon Verilerinin Yaratılması ve Kurulması
e-Güven SO kapalı anahtarını içeren elemanları korumak için kullanılan aktivasyon verileri
(Kapalı Anahtar Grupları) SUH § 6.2.2’nin şartlarına ve Anahtar Yaratma Prosedürü Referans
Kılavuzuna göre yaratılır. Kapalı Anahtar Gruplarının yaratılması ve dağıtılması kayıtlara
geçirilir.
e-Güven KO’larının, kapalı anahtarlarını korumak için güçlü şifreler seçmeleri gerekir. eGüven’in şifre seçme kılavuzu şifrelerin aşağıdaki özelliklerde olmasını ister:
•
•
•
•
•
•
•
Kullanıcı tarafından yaratılması.
En az sekiz karaktere sahip olması.
En az bir alfabetik ve bir sayısal karaktere sahip olması.
En az bir küçük harf içermesi.
Aynı karakterden birden fazla içermemesi.
Operatörün profil ismiyle aynı olmaması.
Kullanıcı profil isminin uzun bir altdizisini içermemesi.
e-Güven, Managed PKI İdarecilerinin, KO’ların ve son kullanıcı Abonelerin aynı şartları
karşılayan şifreler seçmesini önemle tavsiye eder. e-Güven, aynı zamanda, kapalı anahtar
aktivasyonu için iki faktörlü kimlik kontrol mekanizmalarının (örneğin, eleman ve parola,
biyometrik ve eleman ya da biyometrik ve parola) kullanımını da tavsiye eder.
6.3.2 Aktivasyon Verilerinin Korunması
e-Güven Kapalı Anahtar Grubu Sahiplerinin Kapalı Anahtar Gruplarını korumaları ve Kapalı
Anahtar Grubu Sahibi sorumluluklarını kabul ettiklerini gösteren bir anlaşma imzalamaları
gerekir.
e-Güven KO’larının, şifre korumasını ve web tarayıcının “yüksek güvenlik” seçeneğini
kullanarak İdareci/KO kapalı anahtarlarını şifrelenmiş formda saklamaları gerekir.
e-Güven, İstemci İdarecilerinin, KO’ların ve son kullanıcı Abonelerin kapalı anahtarlarını
şifrelenmiş formda saklamalarını ve bir donanım elemanı ve/veya güçlü parola kullanarak
- 72 -
korumalarını önemle tavsiye eder. İki faktörlü kimlik kontrol mekanizmalarının (örneğin, eleman
ve parola, biyometrik ve eleman ya da biyometrik ve parola) kullanımını teşvik edilir.
6.3.3 Aktivasyon Verilerinin Diğer Yönleri
Bkz. SUH § 6.4.1 ve 6.4.2.
6.4
Bilgisayar Güvenlik Kontrolleri
e-Güven, bütün SO ve KO işlevlerini, e-Güven Güvenlik ve Denetim Şartları Kılavuzunun
şartlarını karşılayan Güvenilir Sistemler kullanarak yerine getirir. Managed PKI Müşterileri,
Kuruluş Güvenlik Kılavuzunun şartlarını karşılayan Güvenilir Sistemler kullanmalıdır.
6.4.1 Özel Bilgisayar Güvenliği Teknik Şartları
e-Güven, SO yazılımlarının ve veri dosyalarının bakımını yapan sistemlerin yetkisiz erişime
karşı korunmuş Güvenilir Sistemler olmasını sağlar. Ayrıca, e-Güven, üretim sunucularına
erişim, bu erişim için geçerli bir faaliyet sebebi olan bireylerle sınırlar. Genel uygulama
kullanıcılarının, üretim sunucularında hesapları yoktur.
e-Güven’in üretim ağı diğer bileşenlerden lojik olarak ayrılır. Bu ayrım, tanımlanmış başvuru
süreçleriyle yapılanlar haricindeki ağ erişimlerini engeller. e-Güven, üretim ağını dahili ve harici
izinsiz girişlere karşı korumak ve üretim sistemlerine erişebilecek ağ faaliyetlerinin niteliğini ve
kaynağını sınırlamak için güvenlik duvarları kullanır.
e-Güven, minimum karakter uzunluğuna, alfanümerik ve özel karakterlerden oluşan bir
kombinasyona sahip şifreler kullanımını ister. e-Güven şifrelerin periyodik olarak
değiştirilmesini talep eder.
e-Güven veri bankasını destekleyen e-Güven veri tabanına doğrudan erişim, bu erişim için
geçerli bir faaliyet sebebi bulunan e-Güven operasyonlar grubundaki Güvenilen Şahıslarla
sınırlıdır.
6.5
Geçerlilik Süresi İçindeki Teknik Kontroller
6.5.1 Sistem Geliştirme Kontrolleri
Uygulamalar e-Güven tarafından, e-Güven sistem geliştirme ve değiştirme yönetimi
standartlarına göre geliştirilir ve yerine getirilir. e-Güven, ayrıca, KO ve bazı SO işlevlerinin
yerine getirilmesi için Managed PKI Müşterilerine yazılım temin eder. Bu yazılımlar e-Güven
sistem geliştirme standartlarına göre geliştirilir.
VeriSign’ın geliştirdiği yazılım, ilk yüklendiğinde, VeriSign veya e-Güven kaynaklı sistem
üzerindeki yazılımın kurulumdan önce değiştirilmediğini ve kullanım amacına uygun versiyon
olduğunu doğrulamak için bir yöntem temin eder.
- 73 -
6.5.2 Güvenlik Yönetim Kontrolleri
e-Güven, SO sistemlerinin konfigürasyonunu kontrol etmek ve izlemek için mekanizmalar
ve/veya politikalar uygulamaktadır. e-Güven, tüm yazılım paketlerinden ve e-Güven yazılım
güncellemelerinden oluşan bir kombinasyona sahiptir. Bu kombinasyon, bu yazılımın
bütünlüğünü manuel olarak doğrulamak için kullanılır. e-Güven, kurulumda ve daha sonra
periyodik olarak SO sistemlerinin bütünlüğünü kontrol eder.
6.5.3 Geçerlilik Süresi İçindeki Güvenlik Derecelendirmeleri
Koşul yoktur.
6.6
Ağ Güvenlik Kontrolleri
e-Güven bütün SO ve KO işlevlerini, yetkisiz erişimlere ve diğer kötü niyetli faaliyetlere karşı
koruma amacıyla Güvenlik ve Denetim Şartları Kılavuzuna göre güvenliği sağlanmış ağlar
kullanarak yerine getirir. e-Güven, gizli bilgilerin iletimini şifreleme ve dijital imzalar kullanarak
korur.
6.7
Şifreleme Modülü Mühendislik Kontrolleri
e-Güven ve VeriSign’ın kullandığı şifreleme modülleri SUH § 6.2.1’de belirtilen şartları karşılar.
7. Sertifika ve SİL (CRL) Profili
7.1
Sertifika Profili
SUH § 7.1, bu SUH altında düzenlenen VTN Sertifikaları için e-Güven’in Sertifika Profili ve
Sertifika içeriği ile ilgili şartları belirtmektedir.
e-Güven Sertifikaları, (a) ITU-T Tavsiyesi X.509 (1997): Bilgi Teknolojisi - Açık Sistemlerin
Birbiriyle Bağlantısı - Dizin: Kimlik Kontrolü Çerçevesi, Haziran 1997 ve (b) RFC 2459:
Internet X.509 Açık Anahtar Altyapı Sertifikası ve CRL Profili, Ocak 1999 (“RFC 2459”)’ye
uygundur.
e-Güven X.509, aşağıdaki Tablo 20’deki temel X.509 Versiyon 1 alanlarını ve gösterilen
değerleri veya değer sınırlamalarını içerir.
Alan
Versiyon
Seri Numarası
İmza Algoritması
Düzenleyici DN
Geçerlilik Süresi
Başlangıcı
Geçerlilik Süresi
Değer veya Değer Sınırlaması
Bkz. SUH §7.1.1.
Düzenleyici DN başına tek değer.
Sertifikayı imzalamak için kullanılan algoritmanın ismi (Bkz. SUH § 7.1.3).
Bkz. SUH § 7.1.4
Üniversal Koordinat Zamanı tabanı. ABD Deniz Gözlemevi Master Saatine
ayarlı. RFC 2459’a göre kodlanmış.
Üniversal Koordinat Zamanı tabanı. ABD Deniz Gözlemevi Master Saatine
- 74 -
Alan
Sonu
ayarlı. RFC 2459’a göre kodlanmış.Geçerlilik süresi SUH § 6.3.2’de
belirtilen sınırlamalara göre ayarlanır.
Sertifika Konusu Bkz. SUH § 7.1.4
DN
Sertifika Konusu SUH § 7.1.3’de belirtilen algoritmalar ve SUH § 6.1.5’de belirtilen kod
Genel Kod
uzunlukları kullanılarak RFC 2459’a göre kodlanmış.
İmza
RFC 2459’a göre yaratılmış ve kodlanmış.
Tablo 20 – Sertifika Profili Temel Alanları
7.1.1 Versiyon Numarası/Numaraları
e-Güven SO ve son kullanıcı Abone Sertifikaları aşağıdaki istisnalarla X.509 Versiyon 3
niteliğine sahip Sertifikalardır:
•
•
•
VeriSign PCA’lar ve diğer VeriSign ana SO’ları da dahil VeriSign ana SO sertifikaları,
X.509 Versiyon 1 Sertifikalardır.
Bazı eski versiyon VeriSign Düzenleyici SO sertifikaları, X.509 Versiyon 1 Sertifikalardır.
Bazı Güvenli Sunucu Sertifikaları, belirli web sunucuların X.509 Versiyon 3 Sertifikaların
kullanımını desteklemeyen X.509 Versiyon 1 Sertifikalardır.
7.1.2 Sertifika Ekleri
X.509 Versiyon 3 Sertifikaların kullanıldığı durumlarda; e-Güven, Sertifikaları, SUH §§ 7.1.2.17.1.2.8’in öngördüğü eklerle birlikte yayınlar. VTN SP ve bu SUH’a göre kullanıldıkları sürece
özel eklerin Sertifikalarda kullanılmasına izin verilir.
7.1.2.1 Anahtar Kullanımı
X.509 Versiyon 3 Sertifikaların kullanıldığı durumlarda, e-Güven, Anahtar Kullanım ekini, SUH
§§ 6.1.9’a göre yayınlar. Bu ekin önem derecesi alanı FALSE’a ayarlanır.
7.1.2.2 Sertifika Politikaları Eki
e-Güven X.509 Versiyon 3 son kullanıcı Abone Sertifikalarında, Sertifika Politikaları eki
bulunur. Sertifika Politikaları eki, VTN SP için ilgili nesne tanımlayıcıyla birlikte SP § 7.1.6’ya
uygun olarak ve SUH § 7.1.8’de belirtilen politika niteleyicilere göre yayınlanır. Bu ekin önem
derecesi alanı FALSE’a ayarlanır.
7.1.2.3 Sertifika Konusu Alternatif İsimleri
Koşul yoktur.
- 75 -
7.1.2.4 Temel Sınırlamalar
e-Güven X.509 Versiyon 3 SO Sertifikalarını, “Konu Tipi”ni (subject type) CA’ya ayarlayarak
bir Temel Sınırlamalar ekiyle (basic constraints extension) birlikte yayınlar. Son kullanıcı Abone
Sertifikaları da Konu Tipi “Son Kullanıcı”ya eşit bir Temel Sınırlamalar ekiyle birlikte
yayınlanır. Temel Sınırlamalar ekinin önem derecesi, e-Güven Sınıf 3 Managed PKI Kimlik
Kontrol Servisleri Bürosu SO’sunun Sertifikası hariç olmak üzere genelde FALSE’a ayarlıdır.
Gelecekteki diğer Sertifikalar için bu ekin önem derecesi TRUE’ya ayarlanabilir.
e-Güven X.509 Versiyon 3 SO Sertifikalarda, Temel Sınırlamalar ekinin -“pathLenConstraint”alanı, bu sertifikaya bağlı sertifikasyon zincirinde (certificate path) bu Sertifikanın ardından
gelebilecek maksimum sayıda SO sertifikasına izin verecek şekilde ayarlanmıştır. Son Kullanıcı
Sertifikası yayınlayan Managed PKI Müşterilerinin çevrim içi SO’larının ve e-Güven SO’larının
SO Sertifikalarında -“pathLenConstraint”- alanı “0” değerine ayarlanır; böylece sertifikasyon
zincirinde SO Sertifikasından sonra sadece Son Kullanıcı Sertifikaları gelebilir, yani bu SO’lar
sadec Son Kullanıcı Sertifikaları yayınlayabilir.
7.1.2.5 Uzatılmış Anahtar Kullanımı (Extended Key Usage)
e-Güven, aşağıdaki Tablo 21’de listelenen e-Güven X.509 Versiyon 3 Sertifikaların belirli tipleri
için Uzatılmış Anahtar Kullanımı eki kullanır. e-Güven, diğer Sertifika tipleri için Uzatılmış
Anahtar Kullanımı eki kullanmaz.
Sertifika Tipi
Sertifikalandırma Otoritesi (SO)
OCSP Cevaplandırma Ünitesi
Sınıf 3 Web Sunucu Sertifikaları
Sertifika Tipi
Sınıf 3 Uluslararası Sunucu SO’su
Sınıf 1-3 Genel Ana OCSP Cevaplandırma
Üniteleri
Güvenli Sunucu OCSP Cevaplandırma Ünitesi
Güvenli Sunucu Kimlikleri
Global Sunucu Kimlikleri
Tablo 21 – Uzatılmış Anahtar Kullanımı Eki Kullanan Sertifikalar
Sertifikalar için, e-Güven, Uzatılmış Kod Kullanımı ekini aşağıdaki Tablo 22’ye göre yayınlar.
Önem Derecesi
0 ServerAuth
1 ClientAuth
2 CodeSigning
3 EmailProtection
4 ipsecEndSystem
5 ipsecTunnel
Sınıf
3
Uluslararası
Sunucu CA’sı
FALSE
OCSP
Cevaplandırma
Üniteleri
FALSE
Güvenli
Sunucu
Kimlikleri
FALSE
Global
Sunucu
Kimlikleri
FALSE
Set
Clear
Set
Set
Set
Clear
Set
Set
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
- 76 -
Önem Derecesi
6 ipsecUser
7 TimeStamping
8 OCSP Signing
Sunucu
- Microsoft
-
Geçitli Kripto (SGC)
OID:
1.3.6.1.4.1.311.10.3.3
Netscape SGC - OID:
2.16.840.1.113730.4.1
CA Sertifikaları için
VeriSign
SGC
Tanımlayıcı – OID:
2.16.840.1.113733.1.8.1
Sınıf
3
Uluslararası
Sunucu CA’sı
FALSE
OCSP
Cevaplandırma
Üniteleri
FALSE
Güvenli
Sunucu
Kimlikleri
FALSE
Global
Sunucu
Kimlikleri
FALSE
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Clear
Set
Clear
Clear
Clear
Clear
Clear
Set
Set
Clear
Clear
Set
Set
Clear
Clear
Clear
Tablo 22 – Uzatılmış Anahtar Kullanımı Eki Ayarları
7.1.2.6 SİL Dağıtım Noktaları
e-Güven X.509 Versiyon 3 Güvenli Sunucu ve Sınıf 1 Bireysel son kullanıcı Abone Sertifikaları,
bir İtimat Eden Tarafın SO Sertifikalarının durumunu kontrol etmek için bir SİL elde edebileceği
yerin URL’sini içeren cRLDistributionPoints ekini kullanır. Bu ekin önem derecesi alanı
FALSE’a ayarlanır. Sertifikanın yapısı e-Güven’in ileride SO’su olarak görev yapabilecek
başka kurumların SİL Dağıtım Noktalarının kullanımını da desteklemektedir..
7.1.2.7 Otorite Anahtarı Tanımlayıcı ( Authority Key İdentifier)
VeriSign, VeriSign Ticari Yazılım yayıncıları SO’sunun düzenlediği X.509 Versiyon 3 son
kullanıcı Abone Sertifikalarının Otorite Anahtarı Tanımlayıcı ekini yayınlar. Otorite Anahtarı
Tanımlayıcı, Sertifikayı düzenleyen SO’nun açık anahtarının 160-bit SHA-1 grubundan oluşur.
Bu ekin önem derecesi alanı FALSE’a ayarlanır. Otorite Anahtarı Tanımlayıcının kullanımı
gelecekteki başka VeriSign SO’ları için desteklenebilir.
7.1.2.8 Sertifika Süjesi Anahtarı Tanımlayıcı (Algorithm Object Identifier)
e-Güven’in X.509 Versiyon 3 VTN Sertifikalarını bir Sertifika Süjesi Anahtarı Tanımlayıcı
ekiyle birlikte yayınladığı durumlarda, Anahtar Tanımlayıcı, Sertifika Süjesinin anahtarı esas
alınarak yaratılır. Bu ekin kullanıldığı durumlarda bu ekin önem derecesi alanı FALSE’a
ayarlanır.
7.1.3 Algoritma Nesnesi Tanımlayıcıları
e-Güven X.509 Sertifikaları, RFC 2459’a göre sha1RSA (OID: 1.2.840.113549.1.1.5) veya
md5RSA (OID: 1.2.840.113549.1.1.4) ile imzalanır. VeriSign, bazı eski versiyon SO ve son
kullanıcı Abone Sertifikalarını md2RSA (OID: 1.2.840.113549.1.1.2) ile imzalamıştır.
- 77 -
7.1.4 İsim Formları
e-Güven, VTN Sertifikalarını, SUH § 3.1.1’e göre bir Sertifika Yayınlayıcı ve Sertifika Konusu
Özgün İsmiyle (Issuer and Subject Distinguished Name) birlikte yayınlar.
e-Güven, ayrıca, son kullanıcı Sertifikalarına, Sertifikanın kullanım şartlarının, sertifikada
belirtilen bir URL yoluyla ulaşılabilecek olan İtimat Eden Taraf Anlaşmasında bulunduğunu
belirten bir ilave “alan” yaratır. Bu şartların dışında uygulamalara, ancak, Sertifikalardaki alan,
formatlama veya birbiriyle çalışabilirlik sınırlamaları, bir ”alanın”, Sertifikaların amaçlandığı
başvurularla bağlantılı olarak kullanılmasını imkansız hale getirdiğinde izin verilir.
7.1.5 İsim Sınırlamaları
Koşul yoktur.
7.1.6 Sertifika Politikası Nesnesi Tanımlayıcı
Sertifika politikaları eki kullanıldığında, Sertifikalar, SUH § 1.2’de belirtilen uygun Sertifika
Sınıfına karşılık gelen Sertifika Politikası için nesne tanımlayıcıyı (OID) içerir. Sertifika
Politikası ekini içeren VTN SP’nin yayınlanmasından önce düzenlenen eski Sertifikalar için,
Sertifikalar, VeriSign SUH’a atıfta bulunur.
7.1.7 Politika Sınırlamaları Ekinin Kullanımı
Koşul yoktur.
7.1.8 Politika Niteleyiciler için Yazımsal ve Anlamsal Özellikler
e-Güven, X.509 Versiyon 3 VTN Sertifikalarını, Sertifika Politikaları eki içinde bir politika
niteleyiciyle birlikte yayınlar. Bu Sertifikalar, genelde, İtimat Eden Taraf Anlaşmasına veya
VeriSign SUH’a işaret eden bir işaret niteleyici içerir. Ayrıca, bazı Sertifikalar, ilgili İtimat
Eden Taraf Anlaşmasına işaret eden bir Kullanıcı Uyarısı Niteleyici içerir.
7.1.9 Kritik Sertifika Politika Eki için Anlamsal İşlem Özellikleri
Koşul yoktur.
7.2
SİL Profili
e-Güven RFC 2459’a uygun SİL’ler düzenler. e-Güven SİL’leri, en azından, aşağıdaki Tablo
23’de belirtilen temel alanlara ve içeriklere sahiptir:
Alan
Versiyon
İmza
Algoritması
Bkz. SUH §7.2.1.
SİL’i imzalamak için kullanılan algoritma. VeriSign SİL’leri, RFC 2459’a göre
md5RSA
(OID:
1.2.840.113549.1.1.4)
veya
md2RSA
(OID:
- 78 -
Alan
1.2.840.113549.1.1.2) kullanılarak imzalanır.
Düzenleyen
SİL’i imzalayan ve düzenleyen kuruluş. SİL Düzenleyici İsmi SUH § 7.1.4’de
belirtilen Düzenleyici Özgün İsmi (Issuer Distinguished Name)şartlarına
göredir.
Yürürlük
SİL’in düzenlenme tarihi. e-Güven SİL’leri düzenlendikleri tarihte yürürlüğe
Tarihi
girer.
Sonraki
Bir sonraki SİL’in düzenleneceği tarih. e-Güven SİL’leri için Sonraki
Güncelleme
Güncelleme Tarihi şu şekilde ayarlanır: VeriSign PCA’ları için Yürürlük
tarihinden itibaren 3 ay ve diğer e-Güven SO’ları için yürürlük tarihinden
itibaren 10 gün. SİL düzenleme sıklığı SUH § 4.4.9’un şartlarına göredir.
İptal Edilen İptal edilen sertifikaların listesidir ve iptal edilen Sertifikanın Seri Numarası ile
Sertifikalar
İptal tarihini içerir.
Tablo 23 – CRL Profili Temel Alanları
7.2.1 Versiyon Numarası/Numaraları
e-Güven X.509 Versiyon 1 CRL (SİL) ’ler yayınlamaktadır.
7.2.2 SİL ve SİL Girdi Ekleri
Koşul yoktur.
8. Spesifikasyon Yönetimi
8.1
Spesifikasyon Değişikliği Prosedürleri
Bu SUH’daki düzeltmeler e-Güven’ce yapılacak ve VeriSign Uygulama Geliştirme grubunca
onaylanacaktır. Düzeltmeler ya SUH’un düzeltilmiş halini içeren bir doküman formunda, ya da
bir güncelleme şeklinde yapılacaktır. Düzeltilmiş versiyonlar veya güncellemeler https://www.eguven.com/repository/updates
adresindeki
e-Güven
Veri
Bankasının
Uygulama
Güncellemeleri ve Uyarıları bölümünde yayınlanacaktır. Güncellemeler, SUH’un atıfta
bulunulan versiyonunun belirtilen veya çelişkili hükümlerini geçersiz kılar.
8.1.1 İhbarda Bulunulmadan Değiştirilebilecek Maddeler
e-Güven, yazım hataları, URL değişiklikleri ve irtibat bilgisi değişiklikleri de dahil olmak ve
fakat bunlarla sınırlı kalmamak şartıyla maddi olmayan düzeltmeler için önceden ihbarda
bulunmadan SUH’da düzeltme yapma hakkını saklı tutar. Düzeltmelerin ne şekilde
yayınlanacağının (materyellerle veya başka bir şekilde) belirlenmesinde takdir hakkı sadece eGüven’e aittir.
8.1.2 İhbarda Bulunarak Değiştirilebilecek Maddeler
e-Güven, SUH’daki maddi düzeltmeleri SUH § 8.1.2’ye göre yapacaktır.
- 79 -
8.1.2.1 Maddelerin Listesi
Maddi düzeltmeler, e-Güven’in SUH 8.1.1’e göre maddi olduğunu düşündüğü değişikliklerdir.
8.1.2.2 İhbar Mekanizması
e-Güven’in Uygulama Geliştirme grubu, SUH’da önerilen düzeltmeleri https://www.eguven.com/repository/updates adresinde bulunan e-Güven Veri Bankasının Uygulama
Güncellemeleri ve İhbarları bölümünde yayınlar. e-Güven, SUH için Alt Alanı katılımcılarından
önermelerini ister. e-Güven bu tip bir düzeltmenin gerekli olduğunu düşünürse veya düzeltmenin
uygulanmasını isterse, bu bölüme uygun olarak düzeltmeyle ilgili ihbarda bulunacaktır.
SUH’dakilerin aksine, e-Güven, VTN’nin, e-Güven Alt Alanının veya VTN’nin herhangi bir
kısmının güvenliğinin ihlalini derhal durdurmak veya önlemek için SUH’daki maddi
düzeltmelerin gerekli olduğunu düşünmesi halinde bu düzeltmeleri yapmaya ve e-Güven Veri
Bankasında yayınlamaya yetkili olacaktır. Bu düzeltmeler yayınlandıkları tarihte derhal
yürürlüğe girer.
8.1.2.3 Açıklama Süresi
SUH § 8.1.2.2 altında ayrıca belirtilmedikçe, SUH’daki herhangi bir maddi düzeltme için
açıklama süresi, düzeltmenin e-Güven Veri Tabanında yayınlandığı tarihten başlamak üzere on
beş (15) gün olacaktır. Herhangi bir e-Güven Alt Alanı katılımcısı, açıklama süresinin sonuna
kadar e-Güven Uygulama Geliştirme grubuyla birlikte açıklamaları dosyalamaya yetkili
olacaktır.
8.1.2.4 Açıklama İşleme Mekanizması
e-Güven’in Uygulama Geliştirme grubu, önerilen düzeltmelerle ilgili açıklamaları dikkate alır. eGüven, (a) önerilen düzeltmelerde, düzeltmelerin önerildiği şekilde değişiklik yapılmadan
yürürlüğe girmelerine izin verir, (b) önerilen düzeltmelerde değişiklik yapar ve SUH § 8.1.2.2’ye
göre yeni düzeltmeler olarak yayınlar veya (c) önerilen düzeltmeleri geri çeker. e-Güven, eGüven Veri Bankasının Uygulama Güncellemeleri ve Uyarıları bölümünde ihbarda bulunarak
önerilen düzeltmeleri geri çekmeye yetkilidir. Önerilen düzeltmelerde değişiklik yapılmadıkça
veya düzeltmeler geri çekilmedikçe, SUH § 8.1.2.3 altında açıklama süresinin sona ermesine
kadar yürürlükte olacaktır.
8.1.3 Sertifika Politikası
Değişiklikler
OID
veya
SUH
Bkz. SP § 8.1.3.
- 80 -
İşaretinde
Değişiklik
Gerektiren
8.2
Yayın ve İhbar Politikaları
8.2.1 SUH’da Yayınlanmayan Maddeler
VeriSign ve Küresel Ortakların gizli olduğunu düşündüğü güvenlik dokümanları genel kullanım
amacıyla açıklanmaz. “Gizli güvenlik dokümanları”, SUH § 1.1(a) Tablo 1’de genel kullanım
amacıyla açıklanamayacak dokümanlar olarak belirtilmiş olan dokümanlardır.
8.2.2 SP’nin Dağıtımı
Bu SUH, https://www.e-guven.com/suh adresindeki e-Güven Veri Bankasında elektronik
formda yayınlanır. SUH, e-Güven Veri Bankasında Word, Adobe Acrobat pdf ve HTML
formatında bulunur. e-Güven, ayrıca, [email protected] adresine gönderilen talep
üzerine SUH’u Adobe Acrobat pdf veya Word formatında da verebilir. SUH, “Elektronik Bilgi
Güvenliği A.Ş., Vali Konağı cad. no:147/14 Nişantaşı İstanbul Attn: SUH”ye gönderilen talep
üzerine e-Güven Uygulama Geliştirme grubundan basılı formda temin edilebilir.
8.3
SUH Onay Prosedürleri
İlgili değildir.
Kısaltmalar ve Tanımlar
Kısaltmalar Tablosu
Kısaltma
Terim
ANSI
Amerikan Ulusal Standartlar Enstitüsü
Kimlik Kontrol Servisi Bürosu
ASB
Şirketler arası
B2B
ABD Ticaret Bakanlığı İhracat Yönetimi Bürosu
BXA
Sertifika Otoritesi
SO
Sertifika Politikası
SP
Sertifika Uygulama Hükümleri
SUH
Sertifika İptal Listesi
SİL
Değerlendirme güvence seviyesi (Genel Kıstaslara uygun)
EAL
Elektronik Veri Alışverişi
EDI
EDIFACT Yönetim, Ticaret ve Ulaşım için Elektronik Veri Alışverişi (standartlar Birleşmiş
Milletler Avrupa Ekonomik Komisyonunca oluşturulur)
ABD Federal Bilgi İşlem Standartları
FIPS
Uluslararası Ticaret Odası
ICC
Anahtar Kurtarma Bloğu
KRB
Lojik güvenlik açığı değerlendirmesi
LSVA
Çevrim İçi Sertifika Durumu Protokolü
OCSP
- 81 -
Kısaltma
Terim
Açık Finansal Piyasalar
Ana Sertifikalandırma Otoritesi
Kişisel Kimlik Numarası
Açık Anahtar Şifreleme Standardı
Açık Anahtar Altyapısı
Politika Yönetimi Otoritesi
Kayıt Otoritesi
Açıklama talebi
Denetleme Standartları Açıklaması (Amerikan Yetkili Kamu Muhasebecileri
Enstitüsünce yayınlanır)
S/MIME Güvenli çok maksatlı Internet posta ekleri
Güvenli Soketler Seviyesi
SSL
VeriSign Trust Network
VTN
OFX
PCA
PIN
PKCS
PKI
PMA
KO
RFC
SAS
Tanımlar
Terim
Tanım
İdari Sertifika Otoritesi
(İdari SO)
e-Güven KO’ları, Managed PKI Müşterisi personeli (Managed PKI
İdarecileri), Bağlı İdareciler ve Otomatik Yönetim sunucuları için
Sertifikalar düzenleyen bir çeşit e-Güven SO.
Bir İşlem Merkezi, Servis Merkezi, Managed PKI Müşterisi kurumu
içinde geçerlilik durumunu kontrol eden ve diğer SO veya KO
görevlerini yerine getiren bir Güvenilen Şahıs.
Bir İdareci için düzenlenen ve sadece SO veya KO görevlerini
yerine getirmek için kullanılabilecek bir Sertifika.
Örneğin, teknoloji, telekomünikasyon veya finansal hizmetler
sektöründe, belirli bir bölgede bir VTN dağıtım ve servis kanalı
olarak görev yapmak için VeriSign ile anlaşma imzalamış, önde
gelen güvenilen üçüncü şahıslardan biri.
Belirli bir kuruluşla bağlantısı olan bir gerçek şahıs: (i) kuruluş
içinde memur, yönetici, çalışan, ortak, yüklenici, stajyer veya başka
bir şahıs, (ii) VeriSign tescilli bir menfaat grubunun üyesi veya (iii)
kimliği konusunda uygun güvenceleri veren faaliyet kayıtlarına
veya başka kayıtlara sahip kuruluşla bağlantısını muhafaza eden bir
şahıs.
Kimlik Kontrol Servisi Bürosunun hizmetlerinden yararlanmak için
VeriSign veya bir bağlısıyla sözleşme yapan bir kuruluş. Bir ASB
Müşterisi bir SO'dır ve kendi SO'sunun düzenlediği Sertifikalarda
bu şekilde isimlendirilir, fakat bütün SO görevlerini bir ASB
Sağlayıcıdan temin eder.
ASB Müşterilerine Kimlik Kontrol Servisi Bürosu hizmetleri sunan
bir kuruluş (VeriSign veya bir Bağlısı). Bir ASB Sağlayıcı, bir ASB
Müşterisi için arka uç işlevlerini dış kaynaktan temin eder ve bir KO
İdareci
İdareci Sertifikası
Küresel Ortak
Ticari İlişkide Bulunulan
Kişi)
ASB Müşterisi
ASB Sağlayıcı
- 82 -
Terim
Kimlik Kontrol Servisi
Bürosu
Otomatik Yönetim
Otomatik Yönetim Yazılım
Modülü
Sertifika
Sertifika Başvuru Sahibi
Sertifika Başvurusu
Sertifika Zinciri
Sertifika Yönetimi Kontrol
Hedefleri
Sertifika Politikaları (SP)
Sertifika İptal Listesi (SİL)
Sertifika İmzalama Talebi
Sertifikalandırma Otoritesi
(SO)
Sertifikalandırma
Uygulamaları Açıklaması
(SUH)
Parola
Sınıf
Sınıf 2 Bireysel ASB
Sertifikası
Tanım
olarak görev yapar.
VTN içinde, VeriSign veya bir Bağlısının çoğu ön uç KO işlevlerini
ve bütün arka uç SO işlevlerini kurum adına yerine getirdiği bir
servis.
Kayıt bilgisinin veri tabanındaki bilgilerle uyuşması halinde
Sertifika Başvurularının otomatik olarak onaylandığı bir prosedür.
VeriSign’ca temin edilen ve Otomatik Yönetimi yerine getiren
yazılım.
En azından bir isim veren veya SO’yı tanımlayan, Aboneyi
tanımlayan, Abonenin açık anahtarını içeren, Sertifikanın Geçerlilik
Süresini tanımlayan, bir Sertifika seri numarası içeren ve SO'nun
dijital olarak imzaladığı bir mesaj.
SO’dan sertifika düzenleme talebinde bulunan bir şahıs veya kurum.
Bir Sertifika Başvuru Sahibinin (veya onun yetkili acentasının)
SO’ya sunduğu bir Sertifika düzenleme talebi.
Bir son kullanıcı Abone Sertifikası ve SO Sertifikaları içeren ve ana
Sertifikalardan biriyle sona eren bir sıralı Sertifikalar listesi.
Bir Uygunluk Denetiminden geçmek için bir kuruluşun karşılaması
gereken kıstaslar.
VTN’yi düzenleyen politikanın ana ilkesini oluşturan “VeriSign
Trust Network Sertifika Politikaları” başlıklı doküman.
Periyodik (veya acil olarak) yayınlanan, SO'nun dijital olarak
imzaladığı ve geçerlilik süresi sona ermeden iptal edilen
tanımlanmış Sertifikaları gösteren bir liste. Bu liste genelde SİL’i
düzenleyenin ismini, düzenleme tarihini, bir sonraki planlı SİL
yayınlama tarihini, iptal edilen Sertifikaların seri numaralarını ve
iptal için öngörülen zaman ve sebepleri içerir.
Düzenlenmiş bir Sertifikaya sahip olma talebini taşıyan bir mesaj.
VTN’de Sertifikalar yayınlama, yönetme, iptal etme ve yenileme
yetkisine sahip bir kuruluş.
VeriSign’ın veya bir Küresel Ortağının Sertifika Başvurularını
onaylamada veya reddetmede, Sertifikalar yayınlamada, yönetmede
ve iptal etmede kullandığı ve Managed PKI Müşterilerinin
kullanmasını istediği, uygulamalara dair bir açıklama.
Bir Sertifika için kayıt yaptırma sırasında bir Sertifika Başvuru
Sahibinin seçtiği bir gizli sözcük. Bir Sertifika düzenlendiğinde,
Sertifika Başvuru Sahibi bir Abone olur ve Abone Sertifikasını iptal
etmek veya yenilemek istediğinde bir SO veya KO parolayı
kullanarak Abonenin kimlik kontrolünü yapabilir.
SP’de tanımlanan, öngörülen güvence seviyelerinden biri. Bkz. SP
§ 1.1.1. Farklılıklar SUH § 1.1.1’de özetlenir.
Bir ASB Sağlayıcının ASB Müşterisi SO adına düzenlediği bir Sınıf
2 bireysel Sertifikası.
- 83 -
Terim
Tanım
Bir ASB Sağlayıcının ASB Müşterisi SO adına düzenlediği bir Sınıf
Sınıf 3 kurumsal ASB
3 kurumsal Sertifikası.
Sertifikası
Bkz. Managed PKI Müşterisi.
İstemci Tesis İçi Servis
Müşterisi
İstemci Tesis İçi Lite Servis Bkz. Managed PKI Lite Müşterisi.
Müşterisi
Tüketici veya Kurumsal faaliyet alanında istemci Sertifikaları veren
İstemci Servis Merkezi
bir Küresel Ortak olan bir Servis Merkezi.
Bir İşlem Merkezinin, Servis Merkezinin veya Managed PKI
Uygunluk Denetimi
Müşterisinin, kendisi için geçerli VTN Standartlarına uygunluğunu
belirlemek için uygulanan bir periyodik denetim.
Gizli bilgilerin yetkisiz olarak ifşa edilebileceği veya kontrolünün
Tehdit
kaybedilebileceği bir güvenlik politikası ihlali (veya ihlal şüphesi).
Özel kodlarla ilgili olarak, bir Tehdit, bir kayıp, hırsızlık, ifşa,
değişiklik, yetkisiz kullanım veya bu özel kodun güvenliğini tehdit
eden başka bir unsurdur.
Paragraf SUH § 2.8.1’de belirtildiği gibi, gizli ve özel tutulması
Gizli/Özel Bilgi
gereken bilgiler.
Tüketici (Tüketici Servis Sertifika Başvuru Sahiplerine istemci Perakende Servis Sertifikası
vermek için bir Küresel Oratğın girdiği bir faaliyet alanı.
Merkezindeki gibi)
SİL Kullanım Anlaşması Bir SİL’in veya içindeki bilgilerin kullanılabileceği koşulları
belirten bir anlaşma.
Bir Managed PKI Müşterisi veya bir ASB Müşterisi olan bir kurum.
Müşteri
e-Güven’in sunduğu VeriSign Dijital Onay Servisiyle bağlantılı
Dijital Alındı Belgesi
olarak yaratılan, Zaman Mührü Basma Otoritesinin dijital olarak
imzaladığı ve bir doküman veya veri seti ile o dokümanın veya veri
setinin belirli bir zamanda var olduğunu gösteren bir zaman mührü
içeren bir veri nesnesi.
Elektronik Veri Alışverişi Satınalma siparişleri, faturalar ve ilgili standartlara göre ödeme
talimatları gibi faaliyet işlemlerinin bilgisayardan bilgisayara
(EDI)
iletimi.
Elektronik Veri Alışverişi Elektronik Veri Alışverişi mesajlarında dijital imzalara ve EDI
Sertifikası (EDI Sertifikası) mesajlarının şifrelenmesine izin veren bir Sınıf 3 kurumsal
Sertifikası.
Bir Bağlı Şahsın Managed PKI Müşterilerine Managed PKI
Kurumsal (Kurumsal
Servis Merkezindeki gibi) hizmetleri sunmak için girdiği bir faaliyet alanı.
e-Güven’in sunduğu VeriSign Roaming Servisiyle bağlantılı olarak
Kurumsal Roaming
kullanılan bir Managed PKI Müşterisinin tesisinde bulunan ve
Sunucusu
Roaming Abonelerinin şifreli kapalı anahtarlarını ve bu anahtarları
şifrelemede ve şifrelerini çözmede kullanılan simetrik kod
gruplarını muhafaza eden bir sunucu.
Managed PKI Müşterileri için güvenlik gereksinimlerini ve
Kurumsal Güvenlik
uygulamalarını belirten bir doküman.
Kılavuzu
- 84 -
Terim
Tanım
Acil Denetim/Soruşturma VeriSign’ın, bir kuruluşun VTN Standartlarına uymadığına,
kuruluşla ilgili bir olay veya Tehdit ortaya çıktığına ya da kuruluşta
VTN’nin güvenliğiyle ilgili gerçek veya muhtemel bir tehdit söz
konusu olduğuna inanması için geçerli sebeplerin bulunduğu ve
VeriSign'ın yaptığı bir denetim veya soruşturma.
Geçerli ihracat kanunlarına uygun güçlü bir şifre koruması
Global Sunucu Kimliği
kullanarak şifrelenmiş web tarayıcıları ve web sunucuları arasındaki
SSL oturumlarını desteklemede kullanılan bir Sınıf 3 kurumsal
sertifikası.
Bkz. SSL Premium Edition için Managed PKI.
Global Sunucu Tesis İçi
Servis
Bkz. SSL Premium Edition için Managed PKI Müşterisi.
Global Sunucu Tesis İçi
Servis Müşterisi
Managed PKI servisleri üzerine kurulu olan ve e-ticaret
Go Secure!
uygulamalarını hızlandırmak için tasarlanmış bir tak-çalıştır servis
paketi.
Altyapı Sertifikalandırma Belirli e-Güven hizmetlerini destekleyen e-Güven altyapısının
elemanları için Sertifikalar düzenleyen bir çeşit e-Güven SO’su.
Otoritesi (Altyapı CA)
Altyapı SO’ları, SO, KO veya son kullanıcı Abone Sertifikaları
düzenlemez.
Aşağıdakilerden biri veya birkaçı altında sahip olunan haklar:
Fikri Mülkiyet Hakları
herhangi bir telif hakkı, patent, ticari sır, ticari marka ve diğer fikri
mülkiyet hakları.
Verdiği Sertifika, bir Sertifika Zincirinde ana SO’nın Sertifikası ile
Ara Sertifikalandırma
son kullanıcının Abone Sertifikasını düzenleyen Sertifikalandırma
Otoritesi (Ara SO)
Otoritesinin Sertifikası arasında bulunan bir Sertifikalandırma
Otoritesi.
Anahtar Yaratma Prosedürü şartlarını ve uygulamalarını tarif eden
Anahtar Yaratma
bir doküman.
Prosedürü Referans
Kılavuzu
Bir SO’nun veya Ko’nun anahtar çiftinin yaratıldığı, kapalı
Anahtar Yaratma
anahtarının bir şifreleme modülüne aktarıldığı, kapalı anahtarının
Prosedürü
yedeklendiği ve/veya açık anahtarının onaylandığı bir prosedür.
Bir Managed PKI Müşterisi için Managed PKI Key Manager’ı
Key Manager İdarecisi
kullanarak anahtar yaratma ve kurtarma işlevlerini yerine getiren bir
idareci.
Anahtar Kurtarma Bloğu Bir şifreleme anahtar kullanılarak şifrelenmiş bir Abone kapalı
anahtar içeren bir veri yapısı. KRB’ler Managed PKI Key Manager
(KRB)
yazılımı kullanılarak yaratılır.
Anahtar Kurtarma Servisi Bir Abonenin özel kodunu kurtarmak için bir Managed PKI
Müşterisinin Managed PKI Key Manager’ın kullanımının bir
parçası olarak, e-Güven’in sunduğu ve bir Anahtar Kurtarma
Bloğunu kurtarmak için gereken şifreleme kodlarını içeren bir
- 85 -
Terim
Tanım
VeriSign servisi.
e-Güven’in sunduğu ve e-Güven’in kurumsal Müşterilerinin
Managed PKI
çalışanlar, ortaklar, tedarikçiler ve müşteriler gibi şahıslar ve yanı
sıra sunucular, yönelticiler ve güvenlik duvarları gibi cihazlar için
Sertifikalar dağıtmasına izin veren, VeriSign’ın tam entegre
Managed PKI servisi. Managed PKI, kuruluşların mesaj alışverişine,
şirket içi ağa, şirket dışı ağa, sanal özel ağa ve e-ticaret
uygulamalarına güvenlik işlevi eklemesine izin verir.
Bir Managed PKI Müşterisi için geçerlilik kontrolü veya başka KO
Managed PKI İdarecisi
işlevlerini yerine getiren bir İdareci.
Managed PKI Müşterileri için operasyon gereksinimlerini ve
Managed PKI İdareci
uygulamalarını belirten bir e-Güven dokümanı.
Elkitabı
Managed PKI Anlaşması Bir kuruluşu bir Managed PKI Müşterisi yapan, kuruluşun bu
SUH’nin bağlayıcılığını kabul ettiğini gösteren bir anlaşma.
Managed PKI Sertifikası Sertifika Başvurusunun bir Managed PKI Müşterisince onaylandığı
bir Sertifika.
Managed PKI İdarecilerinin, Sertifika Başvurularında Manuel
Managed PKI Kontrol
Kimlik Kontrolü yapmasına izin veren web esaslı bir arabirim.
Merkezi
e-Güven’den Managed PKI hizmetleri almış ve böylece VTN içinde
Managed PKI Müşterisi
istemci Sertifikaları düzenleyebilen bir SO olmuş bir kurum.
Managed PKI Müşterileri düzenleme, yönetim ve iptal arka uç
işlevlerini e-Güven’den temin eder, fakat Sertifika Başvurularını
onaylama veya reddetme ve Sertifika iptallerini veya yenilemelerini
başlatma KO işlevlerini muhafaza ederler.
Özel bir Managed PKI Anlaşması altında anahtar kurtarma
Managed PKI Key
uygulamasını seçen Managed PKI Müşterileri için bir anahtar
Manager
kurtarma çözümü.
Managed PKI Kod Yönetim Managed PKI Key Manager’ı kullanan Managed PKI Müşterileri
için operasyon gereksinimlerini ve uygulamalarını belirten bir
Servisi İdareci Kılavuzu
doküman.
Bir kurumun, belirli alanlar dahilinde Güvenli Sunucu Kimlikleri
vermede bir VeriSign veya bir Küresel Ortağına yardımcı olarak
VTN içinde bir KO olmasına izin veren bir çeşit Managed PKI
servisi. Bu SO, Sertifika Başvurularını onaylama veya reddetme ve
Güvenli Sunucu Kimliği iptallerini veya yenilemelerini başlatma
KO işlevlerini Managed PKI Müşterilerine delege eder.
VeriSign veya bir Küresel Ortağından Managed PKI servisleri almış
bir kurum.
Müşterisi
SSL Premium Edition için Bir kurumun, belirli alanlar dahilinde Global Sunucu Kimlikleri
vermede bir VeriSign veya Küresel Ortağa yardımcı olarak VTN
Managed PKI
içinde bir Ko olmasına izin veren bir çeşit Managed PKI servisi. Bu
SO, Sertifika Başvurularını onaylama veya reddetme ve Global
Sunucu Kimliği iptallerini veya yenilemelerini başlatma KO
- 86 -
Terim
Tanım
işlevlerini Managed PKI Müşterilerine delege eder.
SSL Premium Edition için VeriSign veya bir Bağlısından SSL Premium için Managed PKI
servisleri almış bir kurum.
Managed PKI Müşterisi
VeriSign veya bir Bağlısından Managed PKI Lite servisleri almış ve
Managed PKI Lite
böylece istemci Sertifikaları düzenlemede bir VeriSign veya bir
Müşterisi
Küresel Ortağa yardımcı olarak VTN'de bir Kayıt Otoritesi olmuş
bir kurum. Bu SO, Sertifika Başvurularını onaylama veya reddetme
ve Sertifika iptallerini veya yenilemelerini başlatma KO işlevlerini
Managed PKI Lite Müşterilerine delege eder.
Manuel Kimlik Kontrolü Bir İdarecinin Sertifika Başvurularını web esaslı bir arabirim
kullanarak manuel olarak birer birer incelediği ve onayladığı bir
prosedür.
Bir Sertifika Başvuru Sahibince bir SO veya KO'ya sunulmuş, SO
Doğrulanmamış Abone
veya KO'uın doğruladığı bir Sertifikaya dahil edilmiş ve ilgili SO ve
Bilgisi
KO'nun, bilgilerin Sertifika Başvuru Sahibince sunulmuş olması
haricinde güvence vermediği bilgiler.
Bir haberleşme tarafının çıkış noktasını, sunulduğunu veya teslim
Red koruması
edildiğini yanlışlıkla reddetmesine karşı koruma sağlayan bir
haberleşme özelliği. Çıkış noktası reddi, gönderenin kimliği
bilinmese dahi haberleşmenin bir veya daha fazla mesajdan oluşan
önceki bir mesaj dizisiyle aynı kaynaktan çıkışının reddini içerir.
Not: Bir red sonuçta ancak bir mahkeme, tahkim kurulu veya başka
bir yetkili makamın kararıyla önlenebilir. Örneğin, bir VTN
Sertifikasına dayanılarak doğrulanan bir dijital imza red
korumasının bir mahkemece tayinini destekleyen bir kanıt
oluşturabilir, fakat kendisi bir red koruması olamaz.
İşlem Taraflarına gerçek zamanlı Sertifika durum bilgisi veren bir
Çevrim İçi Sertifika
Durumu Protokolü (OCSP) protokol.
Bkz. Managed PKI.
Tesis İçi Servis
Tesis İçi Servis İdarecisi Bkz. Managed PKI İdarecisi.
Bkz. Managed PKI İdareci Elkitabı.
Tesis İçi Servis İdareci
Elkitabı
Tesis İçi Servis Anlaşması Bkz. Managed PKI Anlaşması. .
Tesis İçi Servis Sertifikası Bkz. Managed PKI Sertifikası.
Bkz. Managed PKI Kontrol Merkezi.
Tesis İçi Servis Kontrol
Merkezi
Bkz. Managed PKI Key Manager.
Tesis İçi Servis Kod
Yöneticisi
Bkz. Managed PKI Yönetim Servisi İdareci Kılavuzu. İstemci Tesis
Tesis İçi Kod Yönetim
İçi Servis Müşterileri için Tesis İçi Servis Kod Yöneticisini
Servisi İdareci Kılavuzu
kullanarak operasyon gereksinimlerini ve uygulamalarını açıklayan
bir doküman.
Bkz. Managed PKI Lite. Bir kurumun, bir e-Güven SO'sunun VTN
Tesis İçi Lite Servis
- 87 -
Terim
Tanım
içinde son kullanıcı Sertifikaları düzenlemesine yardımcı olacak bir
Kayıt Otoritesi olmasına izin veren bir çeşit Tesis İçi servis.
Sertifika Geçerlilik Süresi Bir Sertifikanın düzenlendiği tarih ve saatle (veya Sertifikada
belirtilmişse daha geç bir tarih ve saatle) başlayan ve Sertifikanın
geçerliliğinin sona erdiği veya daha önce iptal edildiği tarih ve
saatle biten periyot.
RSA Security Inc.'in geliştirdiği ve bir Sertifika İmzalama Talebi
PKCS no. 10
için bir yapı tanımlayan Açık Anahtar Şifreleme Standardı no. 10.
RSA Security Inc.'in geliştirdiği ve kapalı anahtarların transferi için
PKCS no. 12
güvenli bir araç tanımlayan Açık Anahtar Şifreleme Standardı no.
12.
Politika Yönetim Otoritesi VeriSign içinde, bu politikayı tüm VTN'ye yaymaktan sorumlu
kurum.
(PMA)
Belirli bir Sertifika Sınıfı için ana SO olarak görev yapan ve
Ana Sertifikalandırma
mahiyetindeki SO'lara Sertifikalar düzenleyen bir SO.
Otoritesi (PCA)
Sertifikaların düzenlenmesinde kullanılan şifreleme modüllerini ve
İşlem Merkezi
başka gerekli elemanları içeren ve güvenli bir tesis binası oluşturan
bir kurum (VeriSign veya belirli Küresel Ortakları). Tüketici ve
Web Sitesi faaliyet alanlarında, İşlem Merkezleri VTN içinde SO'lar
olarak görev yapar ve Sertifika düzenleme, yönetme, iptal ve
yenileme gibi Sertifika periyodu boyunca sunulan bütün hizmetleri
yerine getirir. Kurumsal faaliyet alanında, İşlem Merkezleri, kendi
Managed PKI Müşterileri ya da mahiyetlerindeki Servis
Merkezlerinin Managed PKI Müşterileri adına sertifika periyodu
hizmetlerini sunar.
Sertifika esaslı bir açık anahtar şifreleme sisteminin kurulmasını ve
Açık Anahtar Altyapısı
işletimini bir bütün olarak destekleyen mimari, kurum, teknikler,
(PKI)
uygulamalar ve prosedürler. VTN PKI, VTN'nin temini ve
kurulmasında ortak çalışan sistemlerden oluşur.
Sertifika Başvuru Sahiplerinin Sertifika başvurularına yardımcı
Kayıt Otoritesi (KO)
olmak ve Sertifika Başvurularını onaylamak veya reddetmek,
Sertifikaları iptal etmek veya yenilemek için bir SO'nun yetki
verdiği bir kuruluş.
Bir Sertifikaya ve/veya bir dijital imzaya dayanarak hareket eden bir
İtimat Eden Taraf
şahıs veya kurum.
Bir SO'nun kullandığı ve bir şahsın veya kurumun İtimat Eden Taraf
İtimat Eden Taraf
olarak hareket etmesi için gerekli hüküm ve şartları belirten bir
Anlaşması
Anlaşma.
SO olarak görev yapan e-Güven’in, web sitesi üzerinden e-Güven'e
Perakende Servis
şahsi olarak başvuran şahıslar ve kurumlar için düzenlediği bir
Sertifikası
Sertifika.
VeriSign Roaming Servisini kullanan ve kapalı anahtarının
Roaming Abonesi
şifrelenmesinde ve şifresinin çözülmesinde, VeriSign Roaming
- 88 -
Terim
Tanım
RSA
Sunucusu ile bir Kurumsal Roaming Sunucusu arasında ikiye
bölünmüş bir simetrik anahtar kullanan bir Abone.
Rivest, Shamir ve Adelman'ın icat ettiği bir açık anahtarlı şifreleme
sistemi.
Güvenli Sunucu Kimlikleri veren Sertifika Otoritesi.
RSA Güvenli Sunucu
Sertifika Otoritesi (RSA
Güvenli Sunucu SO)
RSA Güvenli Sunucu
Hiyerarşisi
Kapalı Anahtar Grubu
RSA Güvenli Sunucu Sertifikala Otoritesinden oluşan PKI
hiyerarşisi.
Kapalı Anahtar Grubu Paylaşımı düzenlemesi altında bir SO kapalı
anahtarını kullanmak için gereken bir SO kapalı anahtarının ya da
aktivasyon verilerinin bir bölümü.
SUH § 6.2.2 altındaki SO kapalı anahtar işlemleri üzerinde birden
Kapalı Anahtar Grubu
fazla kişinin kontrolünü sağlamak amacıyla, bir SO kapalı
Paylaşımı
anahtarını kullanmak için gereken, bir SO kapalı anahtarının ya da
aktivasyon verilerinin bölünmesi uygulaması.
Web tarayıcıları ile web sunucuları arasındaki SSL oturumlarını
Güvenli Sunucu Kimliği
desteklemek için kullanılan bir Sınıf 3 kurumsal Sertifikası.
Güvenli Soketler Seviyesi Netscape Communications Corporation'ın web haberleşmelerini
korumak için geliştirdiği endüstri standardında yöntem. SSL
(SSL)
güvenlik protokolü veri şifreleme, sunu kimlik kontrolü, mesaj
bütünlüğü ve opsiyonel istemci kimlik kontrolü (bir Transmisyon
Kontrol Protokolü/Internet Protokolü bağlantısı için) sağlar.
İşlem Merkezleri ve Servis Merkezleri için güvenlik ve denetim
Güvenlik ve Denetim
şartlarını belirleyen bir VeriSign dokümanı.
Şartları Kılavuzu
Güvenlik ve Uygulamalar Bir Bağlı Şahsın işlem yapmasına izin vermeden önce VeriSign'ın
yaptığı bir inceleme.
İncelemesi
Sunucu Geçitli Şifreleme Güçlü şifre koruması kullanarak şifrelenmiş bir tarayıcıyla bir SSL
oturumu yaratmak için web sunucuların bir Global Sunucu Kimliği
düzenlemesine izin veren bir teknoloji.
Bkz. SSL için Managed PKI.
Sunucu Tesis İçi Servis
Bkz. SSL için Managed PKI Müşterisi.
Sunucu Tesis İçi Servis
Müşterisi
Ya web sitesinde, ya da Kurumsal faaliyet alanında Güvenli Sunucu
Sunucu Servis Merkezi
Kimlikleri ve Global Sunucu Kimlikleri sağlayan Küresel Ortağın
Servis Merkezi.
Belirli bir Sınıfta veya tipte Sertifikalar düzenlemek amacıyla,
Servis Merkezi
Sertifika imzalama birimi içermeyen fakat bu Sertifikaların
düzenlenmesi, yönetimi, iptali ve yenilenmesi işlemlerini bir İşlem
Merkezine dayanarak gerçekleştiren bir Küresel Ortak.
VTN'de, VTN hiyerarşisi içindeki bir kuruluşun veya onun
Alt Alan
mahiyetindeki bütün kuruluşların kontrolünde bulunan kısım.
Sertifika Süjesi (Sertifika Bir açık anahtara karşılık gelen bir kapalı anahtarın sahibi.
- 89 -
Terim
Tanım
Sahibi)
"Sertifika Süjesi" terimi, bir kurumsal Sertifika durumunda bir
kapalı anahtara sahip olan ekipman veya cihaza karşılık gelir. Bir
Sertifika Süjesine, Kapalı Anahtarın Sahibinin Sertifikasında yer
alan açık anahtara bağlı açık bir isim tahsis edilir.
Bir bireysel Sertifika durumunda, adına düzenlenen Sertifikanın
Konusu olan bir şahıs. Bir kurumsal Sertifika durumunda, adına
düzenlenen Sertifikanın Konusu olan bir kurum. Bir Abone,
Sertifikada listelenen açık anahtara karşılık gelen kapalı anahtarı
kullanabilen kişidir ve kapalı anahtarı kullanmaya münhasıran
yetkilidir.
Bir SO veya KO'nun kullandığı ve bir bireyin veya kurumun bir
Abone olarak hareket etme koşullarını belirten bir anlaşma.
Bir VTN hiyerarşisinde belirli bir kuruluşun üzerinde olan bir
kuruluş (Sınıf 1, 2 veya 3 hiyerarşisi).
Bir kuruluşun Uygunluk Denetiminde hata veya eksiklik
bulgularının sonra veya sıradan faaliyetlerde genel risk yönetimi
prosesinin bir parçası olarak VeriSign'ın kuruluşu incelemesi.
VeriSign veya bir Küresel Ortağı ı adına belirli pazarlara pazarlama
hizmetleri sunan bir kuruluş.
VeriSign Dijital Onay servisinin bir parçası olarak Dijital Alındı
Belgelerini imzalayan VeriSign kuruluşu..
Dijital Alındı Belgeleri üzerindeki dijital imzaları doğrulamak için
Zaman Mührü Basma Otoritesine özel bir Sınıf 3 kurumsal
Sertifikası düzenleyen VeriSign SO.
VTN içinde bir kuruluşun, onun ürünlerinin, hizmetlerinin,
tesislerinin ve/veya SUH § 5.2.1'de ayrıca tanımlanan
uygulamalarının altyapı güvenilirliğinin yönetiminden sorumlu olan
bir personel, yüklenici veya kuruluş danışmanı.
Bir VTN içinde bir Güvenilen Şahısça bulunulması gereken
konumlar.
Yetkisiz girişe ve hatalı kullanıma karşı makul düzeyde güvenli
olan, makul düzeyde bir kullanılabilirlik, güvenilirlik ve doğru
işletim sağlayan, amaçlanan işlevlerini yerine getirmede makul
düzeyde uygun olan ve ilgili güvenlik politikasını uygulayan
bilgisayar donanımı, yazılımı ve prosedürler. Bir güvenilir sistemin,
sınıflandırılmış resmi terminolojide bilindiği gibi bir "güvenilen
sistem" olması gerekmez.
Managed PKI Müşterilerine sunulan ve belirli bir dokümanın veya
veri setinin belirli bir zaman noktasında varolduğuna dair, dijital
olarak imzalanmış bir kanıt (bir Dijital Alındı Belgesi) sağlayan bir
servis.
e-Güven’in Sertifikalar veri tabanı ve çevrim içi erişilebilir diğer
ilgili VeriSign Trust Network bilgisi.
Abone
Abonelik Anlaşması
Üst Kuruluş
Ek Risk Yönetimi
İncelemesi
Tekrar Satıcı
Zaman Damgası Basma
Otoritesi
Zaman Damgası Basma
Otoritesi SO
Güvenilen Şahıs
Güvenilen Konum
Güvenilir Sistem
e-Güven’in sunduğu
VeriSign Dijital Onay
Servisi
- 90 -
Terim
Tanım
e-Güven’in sunduğu VeriSign Roaming Servisiyle bağlantılı olarak
kullanılan e-Güven İşlem Merkezinde bulunan ve Roaming
Abonelerinin kapalı anahtarlarını
şifrelemede ve şifrelerini
çözmede kullanılan simetrik anahtar gruplarını muhafaza eden bir
sunucu.
e-Güven’in sunduğu ve bir Abonenin kendi kapalı anahtarını
VeriSign Roaming Servisi indirmesine ve farklı istemci terminallerinde kapalı anahtar
işlemlerini yapmasına izin veren servis.
e-Güven’in güvenlik politikalarını tarif eden en yüksek düzeyde
e-Güven Güvenlik
doküman.
Politikası
e-Güven
Alt
Alan VTN'nin e-Güven Alt Alanında aşağıdakilerden biri veya daha
fazlası olan bir şahıs veya kurum: e-Güven, bir Müşteri, bir Tekrar
Katılımcıları
Satıcı, bir Abone veya bir İtimat Eden Taraf.
VeriSign Trust Network Sertifika Politikalarınca düzenlenen ve
VeriSign Trust Network
Sertifikaların dünya çapında kurulumunu ve VeriSign ve
(VTN)
Bağlılarınca ve bunların Müşterileri, Aboneleri ve İtimat Eden
Taraflarca kullanımını sağlayan Sertifika esaslı Açık Anahtar
Altyapısı.
e-Güven VTN Katılımcısı VTN içinde aşağıdakilerden biri veya daha fazlası olan bir şahıs
veya kurum: VeriSign, bir Bağlı Şahıs, bir Müşteri, bir Tekrar
Satıcı, bir Abone veya bir İtimat Eden Taraf.
Sertifikaların düzenlenmesi, yönetimi, iptali, yenilenmesi ve VTN
VTN Standartları
içinde kullanımı için ticari, hukuki ve teknik şartlar.
Bir Internet servis sağlayıcısı, bir sistem entegratörü, bir Tekrar
Web Host Sistemi
Satıcı, bir teknik danışman ve uygulama servis sağlayıcısı ya da
benzeri bir kuruluş gibi başka bir şahsın web sitesini içeren bir
kuruluş.
Web Ana Sistem Programı Web Ana Sistemlerinin, müşterileri olan son kullanıcı Aboneler
adına Güvenli Sunucu Kimlikleri ve Global Sunucu Kimlikleri
kaydetmesine izin veren bir program.
Sertifika Başvuru Sahiplerine birer birer Güvenli Sunucu Kimliği ve
Web Sitesi (Web Sitesi
Servis Merkezindeki gibi) Global Sunucu Kimliği Perakende Sertifikaları sağlamak için bir
Bağlı Şahsın girdiği bir faaliyet alanı.
VeriSign Roaming
Sunucusu
- 91 -

e-Güven Sertifika Uygulama Hükümleri - E

Transkript

Benzer belgeler

Dünya devi Aladdin Bilgi Sistemleri, iş ortağı olarak E

Firefox-Mozilla Tarayıcısı (Windows) Sertifika

Mağaza Güvenliği

Tescil Sertifikası

nevşehir hacı bektaş veli üniversitesi öğrencisi olmayan kesin kayıt

Çiçek Düzenleme