Порядок надання Надавачем інформації про статус сертифіката

Розповсюдження інформації про статус кваліфікованих сертифікатів електронного підпису чи печатки користувачів здійснюється шляхом публікації повного та часткового списків відкликаних сертифікатів на офіційному веб-сайті надавача та забезпечення створення можливості перевірки статусу кваліфікованого сертифіката електронного підпису чи печатки користувача в режимі реального часу через комунікаційні мережі загального користування.

При використанні Підписувачем (Створювачем електронної печатки) особистого ключа для формування КЕП він повинен попередньо перевірити чинність відповідного цьому ключу сертифіката. Те саме стосується і сертифікатів, які Підписувач (Створювач електронної печатки) або інший користувач використовує для перевірки КЕП.

Для перевірки статусу сертифікатів використовуються такі механізми:

  • подання до КНЕДП запитів та отримання відповідей за протоколом OCSP;
  • перевірка наявності сертифіката у поточному СВС КНЕДП.

Отримання статусу сертифіката за допомогою OCSP

Взаємодія з КНЕДП за протоколом OCSP дозволяє отримувати інформацію про статус сертифіката в реальному часі. Обмін із Надавачем таким чином здійснюється ПЗ посадових осіб КНЕДП або прикладним ПЗ, що надається Підписувачам (Створювачам електронної печатки), наприклад прикладним застосуванням «Персональний сервіс довірчих послуг».

OCSP-сервер, який функціонує в складі ПТК КНЕДП, має власний ключ КЕП та відповідний йому сертифікат, доступ до якого надається через веб-сайт Надавача.

Для перевірки відповідей OCSP-сервера під час введення в дію сертифіката Підписувача (Створювача електронної печатки) ПЗ записує до особистого контейнера Підписувача (Створювача електронної печатки) ланцюжок сертифікатів, включаючи сертифікати КНЕДП та OCSP-сервера. Крім того, ПЗ може отримувати сертифікати з LDAP-каталогу КНЕДП.

ПЗ Підписувача (Створювача електронної печатки) відправляє запит до OCSP-сервера автоматично щоразу, як проводиться автентифікація користувача, накладення чи перевірка КЕП.

Відповідь від OCSP-сервера приймається і обробляється прикладним ПЗ Підписувача (Створювача електронної печатки) автоматично. Вона містить інформацію про статус сертифіката, щодо якого проводився запит, чи є він чинним, блокованим чи скасованим. Залежно від статусу ПЗ дозволяє або забороняє вхід до системи та/або накладення КЕП, або повідомляє про результат перевірки КЕП.

Отримання статусу сертифіката за допомогою СВС

СВС утримують перелік сертифікатів, що мають статус блокованих та скасованих. СВС формуються Надавачом, засвідчуються КЕП КНЕДП та публікуються в LDAP-каталозі та на веб-сайті КНЕДП. Період публікації становить дві години.

Перевірка статусу сертифіката за допомогою СВС є альтернативою перевірці за протоколом OCSP.

Перевірка статусу за СВС виконується ПЗ посадових осіб та прикладним ПЗ Підписувачів (Створювачів електронної печатки).

За наявності підключення до мережі Internet на робочому місці Підписувача (Створювача електронної печатки) ПЗ автоматично перевіряє актуальність СВС та у разі необхідності завантажує оновлений з LDAP-каталогу чи веб-сайту КНЕДП.

У разі відсутності на робочому місці Підписувача (Створювача електронної печатки) підключення до мережі Internet відповідальність за наявність актуального СВС покладається на Підписувача (Створювача електронної печатки), який використовує ключі КЕП.

Використання КЕП без перевірки статусу сертифікатів за актуальним СВС чи за OCSP забороняється.

СВС КНЕДП оновлюється при кожному додаванні або виключенні з нього інформації про зміну статусу сертифіката.