REQUISITO I.13: Uma aplicação de auditoria e sincronismo executada por um SAS deve ser capaz de
manipular certificados digitais que implementam a versão 3 do padrão ITU-T X.509 (X.509v3). Por aplicação
de auditoria e sincronismo, entende-se um aplicação que é executada no SAS, e responsável por auditar SCTs.
Especificamente para certificados digitais ICP-Brasil de SAS, designados somente para fins de assinatura
digital de alvarás, as seguintes extensões são obrigatórias:
• “Authority Key Identifier”: campo que deve conter o hash SHA-1 da chave pública da AC;
• “Key Usage”: define o propósito da chave criptográfica contida no certificado digital. Dado que este
é um certificado digital para fins de assinatura digital, somente os bits digitalSignature e
nonRepudiation devem estar ativos;
• “Certificate Policies”: deve conter o OID da PC correspondente e a URL da DPC da AC que emitiu
o certificado digital;
• “CRL Distribution Points”: deve conter a URL onde está publicada a LCR correspondente;
• “Subject Alternative Name”: permite que identidades ou características adicionais sejam associadas
ao proprietário de um certificado digital.
REQUISITO I.14: Todo certificado digital ICP-Brasil, antes de ser utilizado por um SCT ou SAS, deve ser
verificado. A verificação de um certificado digital ICP-Brasil deve consistir em:
1. Realizar a validação criptográfica (verificação com a chave criptográfica assimétrica pública do
assinante) da assinatura digital do certificado;
2. Verificar se o instante de seu uso está dentro do prazo de validade definido para o certificado digital;
3. Verificar se o instante de uso do certificado digital não é posterior a um instante de revogação. Caso
a revogação do certificado digital não seja verificada, a aplicação do SCT ou SAS deve estar em
conformidade ao REQUISITO I.15;
4. Verificar se o certificado digital é utilizado de acordo com seu propósito de uso definido nas extensões
“keyUsage” e “extendedKeyUsage”;
5. Verificar se o certificado digital é usado de acordo com a combinação entre seu propósito de uso e
suas restrições básicas definidas na extensão “Basic Constraints”.
6. Validar o caminho de certificação conforme REQUISITO I.16.
REQUISITO I.15: Caso a verificação de revogação de certificados digitais não esteja habilitada, em
qualquer processo de validação de certificado digital, a aplicação do SCT ou SAS deve emitir um alerta à
entidade responsável indicando que a verificação de revogação não foi realizada e interromper a emissão de
carimbos do tempo ou alvarás.
REQUISITO I.16: Um caminho de certificação consiste em uma sequência de “n” certificados digitais
{1, ...., n}, sendo que o primeiro certificado corresponde ao da entidade considerada como “âncora de
confiança”, ou seja, a AC Raiz. O n-ésimo certificado corresponde ao certificado que deve ser validado, neste
caso, o de entidade final.
O processo de validação do caminho de certificação de um certificado digital deve satisfazer às seguintes
condições:
• Para todo certificado digital “x” no intervalo {1, ...., n-1}, o proprietário do certificado digital “x”
deve ser o emissor do certificado digital “x+1”;
• Os itens 1, 2, 3, 4 e 5 do REQUISITO I.14 devem ser aplicados para cada certificado digital que
forma o caminho de certificação avaliado, compreendendo desde o certificado digital da AC-Raiz até
os certificados digitais das ACs intermediárias.