da AC Raiz, podendo este prazo ser revisto de acordo com as definições estabelecidas
pelo CG da ICP-Brasil.
Art. 4º Altera-se o item 7.2.2 do DOC-ICP-01, versão 4.1, que passa a vigorar com a seguinte
redação:
7.2.2.1. O certificado da AC de nível imediatamente subsequente ao da AC Raiz pode
implementar quaisquer das extensões previstas na versão 3 do padrão ITU X.509.
7.2.2.2. As seguintes extensões são obrigatórias:
a) “Authority Key Identifier”, não crítica: o campo keyIdentifier deve conter o
hash, obtido com algoritmo da família SHA, da chave pública da AC que
emite o certificado;
b) “Subject Key Identifier”, não crítica: deve conter o hash, obtido com
algoritmo da família SHA, da chave pública da AC titular do certificado;
c) “Key Usage”, crítica: somente os bits keyCertSign e cRLSign devem estar
ativados;
d) “Certificate Policies”, não crítica:
d.1) o campo policyIdentifier deve conter:
i. se a AC emite certificados para outras ACs, o OID da DPC da AC
titular do certificado; ou
ii. se a AC emite certificados para usuários finais, os OID das PCs
implementadas, contendo o campo policyQualifiers com o atributo
id-qt-cps e o endereço Web da DPC da AC;
e) “Basic Constraints”, crítica: deve conter o campo cA=True; e
f) “CRL Distribution Points”, não crítica: deve conter endereço na Web onde se
obtém a LCR correspondente ao certificado, conforme item 7.1.2.c.
Art. 5º Altera-se o item 7.2.6 do DOC-ICP-01, versão 4.1, que passa a vigorar com a seguinte
redação:
Conforme disposto no item 7.2.2.2 d.
Art. 6º Altera-se o item 7.2.7 do DOC-ICP-01, versão 4.1, que passa a vigorar com a seguinte
redação:
Se a AC emite certificados para usuários finais a extensão “Policy Constraints”
poderá ser utilizada na forma definida pela RFC 5280.
Art. 7º Altera-se o item 7.2.8 do DOC-ICP-01, versão 4.1, que passa a vigorar com a seguinte
redação:
7.2.8.1. Em certificados de AC que emitem certificado para usuário final, o campo
policyQualifiers da extensão “Certificate Policies” deverá conter o endereço web
(URL) da DPC da AC, conforme disposto no item 7.2.2.2.d.ii.
7.2.8.2. Para as demais ACs, não se aplica.
Art. 8º Altera-se o item 7.2.9 do DOC-ICP-01, versão 4.1, que passa a vigorar com a seguinte
redação:
Se a AC emite certificados para usuários finais, extensões críticas devem ser
interpretadas conforme a RFC 5280.
Art. 9º Fica aprovada a versão 4.2 do Documento DECLARAÇÃO DE PRÁTICAS DE