RESOLUÇÃO N

119, DE 06 DE JULHO DE 2017.

APROVA A OBRIGATORIEDADE DE

REALIZAÇÃO DE AUDITORIAS WEBTRUST

PARA AC QUE EMITE CERTIFICADO PARA

USUÁRIO FINAL E DE IMPLEMENTAÇÃO DE

RESPOSTAS OCSP PARA AC QUE EMITE

CERTIFICADO DO TIPO SSL/TLS NAS

CADEIAS DE CERTIFICAÇÃO DIGITAL ICP-

BRASIL.

O COORDENADOR DO COMITÊ GESTOR DA INFRAESTRUTURA DE CHAVES

PÚBLICAS BRASILEIRA, no uso das atribuições que lhe confere o art. 6º, §1º, inc. III, do

Regimento Interno, torna público que o COMITÊ GESTOR DA INFRAESTRUTURA DE

CHAVES PÚBLICAS BRASILEIRA, no exercício das competências previstas no art. 4°, da

Medida Provisória n° 2.200-2, de 24 de agosto de 2001, em reunião extraordinária realizada em

06 de julho de 2017,

CONSIDERANDO a necessidade de conformidade aos requisitos do programa de raízes

confiáveis para manutenção dos certificados da AC RAIZ da ICP-Brasil nos repositórios dos

navegadores de internet,

RESOLVEU:

Art. 1º Alterar alínea “e” do item 7.1.2.2 do DOC-ICP-04, versão 6.1, que passa a vigorar com a

seguinte redação:

e) "Authority Information Access", não crítica: A primeira entrada deve conter o método

de acesso id-ad-caIssuer, utilizando um dos seguintes protocolos de acesso, HTTP,

HTTPS ou LDAP, para a recuperação da cadeia de certificação. A segunda entrada deve

conter o método de acesso id-ad-ocsp, com o respectivo endereço do respondedor OCSP,

utilizando um dos seguintes protocolos de acesso, HTTP, HTTPS ou LDAP, para

certificados de autenticação de servidor (SSL/TLS). Todos os outros tipos de certificado

podem conter essa segunda entrada. Essas extensões somente são aplicáveis para

certificados de usuário final.

Art. 2º Alterar o item 2.7.1 do DOC-ICP-05, versão 4.1, que passa a vigorar com a seguinte

redação:

2.7.1. As fiscalizações e auditorias realizadas no âmbito da ICP-Brasil têm por objetivo

verificar se os processos, procedimentos e atividades das entidades integrantes da ICP-

Brasil estão em conformidade com suas respectivas DPCs, PCs, PSs e demais normas e

procedimentos estabelecidos pela ICP-Brasil e com os princípios e critérios definidos

pelo WebTrust.

Art. 3º Alterar o item 4.4.10 do DOC-ICP-05, versão 4.1, que passa a vigorar com a seguinte

redação:

4.4.10. Requisitos para verificação de Certificados Revogados

4.4.10.1. Neste item a DPC deve observar que todo certificado deverá ter a sua validade

verificada, na respectiva LCR ou OCSP, antes de ser utilizado. ACs que emitem

certificados SSL devem suportar requisições OCSP em conformidade com a RFC 6960

e/ou RFC5019. Para certificados SSL, a resposta OCSP deve ter validade mínima de um

dia e máxima de uma semana, sendo que a próxima atualização deve estar disponível na

REVOGADA

metade desse período.

4.4.10.2 A DPC deve observar, ainda, que a autenticidade da LCR/OCSP deverá também

ser confirmada por meio das verificações da assinatura da AC emitente e do período de

validade da LCR/OCSP.

Art. 4º Alterar o item 6.1.1 do DOC-ICP-08, versão 4.1, que passa a vigorar com a seguinte

redação:

6.1.1 As auditorias têm por objetivo avaliar se os processos, procedimentos, atividades e

controles estão em conformidade com as respectivas Políticas de Certificado, Declaração

de Práticas de Certificação, Política de Segurança e demais normas e procedimentos

estabelecidos pelo Comitê Gestor da ICP-Brasil. O documento ADE-ICP-08-E[6] detalha

os processos que compõem a cadeia de certificação e deverá nortear as auditorias

realizadas na cadeia da ICP-Brasil. Adicionalmente, as auditorias do tipo 1 também

devem avaliar os princípios e critérios definidos pelo WebTrust.

Art. 5º Incluir a alínea “p” no item 4.2 do DOC-ICP-08, versão 4.1, com a seguinte redação:

p) certificação WebTrust para executar auditorias de Autoridade Certificadoras - AC

(WebTrust for Certification Authorities), para entidades interessadas em realizar

auditorias do Tipo 1.

Art. 6º Ficam aprovadas as novas versões dos Documentos: DOC-ICP-04 - REQUISITOS

MÍNIMOS PARA AS POLÍTICAS DE CERTIFICADO NA ICP-BRASIL (versão 6.2), DOC-

ICP-05 - REQUISITOS MÍNIMOS PARA AS DECLARAÇÕES DE PRÁTICAS DE

CERTIFICAÇÃO DAS AUTORIDADES CERTIFICADORAS DA ICP-BRASIL (versão 4.2) e

DOC-ICP-08 - CRITÉRIOS E PROCEDIMENTOS PARA AUDITORIA DAS ENTIDADES

INTEGRANTES DA ICP - BRASIL (versão 4.2).

§ 1º As demais cláusulas dos referidos documentos, nas suas versões imediatamente

anteriores, em sua ordem originária, integram as presentes versões e mantêm-se válidas.

§ 2º Os documentos referidos no caput encontram-se disponibilizados, em sua

totalidade, no sítio http://www.iti.gov.br.

Art. 7º As entidades da ICP-Brasil têm o prazo de até 180 (cento e oitenta) dias, contados da

data da publicação, para se adequarem às mudanças previstas nos artigos 1º e 3º e até 18

(dezoito) meses para o artigos 2º, 4º e 5º.

Art. 8º Esta Resolução entra em vigor na data de sua publicação.

LUIZ CARLOS DE AZEVEDO