NİTELİKLİ ELEKTRONİK SERTİFİKA, SİL VE OCSP İSTEK/CEVAP MESAJLARI PROFİLLERİ NİSAN 2007 İÇİNDEKİLER 1. Amaç ve Kapsam...................................................................................................................4 2. Dayanak.....................................................................................................................................4 3. Tanımlar ve Kısaltmalar..........................................................................................................4 4. Sertifika Profili.........................................................................................................................5 4.1 Zorunlu Sertifika Alanları..........................................................................................................5 4.1.1 Genel kurallar.....................................................................................................5 4.1.2 Geçerlilik (Validity) Alanı.................................................................................5 4.1.3 Yayımcı (Issuer) Alanı.......................................................................................5 4.1.4 Özne (Subject) Alanı..........................................................................................6 4.1.5 Açık Anahtar (Public Key) Alanı.......................................................................6 4.2 Eklentiler....................................................................................................................................6 4.2.1 Yetkili Anahtarı Tanımlayıcısı (Authority Key Identifier) ve Özne Anahtarı Tanımlayıcısı (Subject Key Identifier) Eklentileri.........................................................6 4.2.2 Anahtar Kullanımı (Key Usage) Eklentisi.........................................................6 4.2.3 Sertifika İlkeleri (Certificate Policies) Eklentisi................................................7 4.2.4 Temel Kısıtlar (Basic Constraints) Eklentisi......................................................7 4.2.5 Genişletilmiş Anahtar Kullanımı (Extended Key Usage) Eklentisi...................7 4.2.6 Özne Alternatif Adı (Subject Alternative Name) Eklentisi................................7 4.2.7 Özne Dizin Nitelikleri (Subject Directory Attributes) Eklentisi........................7 4.2.8 Nitelikli Sertifika İbareleri (Qualified Certificate Statements)..........................7 4.2.8.1 ETSI TS 101 862 Nitelikli Sertifika İbaresi..........................................8 4.2.8.2 Telekomünikasyon Kurumu Nitelikli Elektronik Sertifika İbaresi.......8 4.2.8.3 Para Limiti İbaresi.................................................................................8 4.2.9 SİL Dağıtım Noktası (CRL Distribution Points) Eklentisi.................................8 4.2.10 Hizmet Sağlayıcı Bilgi Erişimi (Authority Information Access) Eklentisi........8 5. Nitelikli Elektronik Sertifika Şartları ile Uyum....................................................................9 6. Sertifika İptal Listesi (SİL) Profili..........................................................................................9 6.1 Zorunlu SİL Alanları................................................................................................................10 6.1.1 Versiyon...........................................................................................................10 6.1.2 İmza Algoritması..............................................................................................10 6.1.3 Yayımcı (Issuer Name) Alanı...........................................................................10 6.1.4 Yayınlama Tarihi (This Update)......................................................................10 6.1.5 Sonraki Yayınlama Tarihi (Next Update)........................................................10 6.2 SİL Eklentileri..........................................................................................................................10 6.2.1 Yetkili Anahtarı Tanımlayıcısı (Authority Key Identifier) Eklentisi...............10 6.2.2 SİL Numarası (CRL Number) Eklentisi...........................................................10 6.3 SİL Eleman Eklentileri.............................................................................................................10 6.3.1 Sebep Kodu (Reason Code) Eklentisi..............................................................10 7. Çevrimiçi Sertifika Durum Protokolü (OCSP)...................................................................11 7.1 OCSP İstek Mesajı...................................................................................................................11 7.1.1 OCSP İstek Mesajı Eklentileri..........................................................................11 7.1.1.1 Nonce Eklentisi...................................................................................11 7.1.1.2 Kabuledilebilir Cevap Tipleri (Acceptable Response Types) Eklentisi11 7.1.2 OCSP Tek İstek Eklentileri..............................................................................11 7.2 OCSP Cevap Mesajı.................................................................................................................11 17 Sayfanın 2. Sayfası 7.2.1 Zorunlu OCSP Cevap Alanları.........................................................................11 7.2.1.1 İmza Algoritması Alanı (BasicOCSPResponse yapısı signatureAlgorithm)..............................................11 7.2.1.2 Sonraki Güncelleme Alanı(SingleResponse yapısı nextUpdate)........11 7.2.1.3 Sebep Kodu (RevokedInfo yapısı revocationReason).........................11 7.2.2 OCSP Cevap Eklentileri...................................................................................12 7.2.2.1 Nonce...................................................................................................12 7.2.3 OCSP Tek Cevap Eklentileri............................................................................12 8. Örnek Kodlamalar.................................................................................................................12 8.1 Örnek Nitelikli Elektronik Sertifika Kodlaması.......................................................................12 8.2 Örnek SİL Kodlaması...............................................................................................................16 9. Kaynakça ……………………………………………………………………………………….17 17 Sayfanın 3. Sayfası 1. Amaç ve Kapsam 23 Ocak 2004 tarihli ve 25355 sayılı Resmi Gazete’de yayımlanan 5070 sayılı Elektronik İmza Kanunu [1] ve buna bağlı olarak Telekomünikasyon Kurumunun hazırlamış olduğu ikincil düzenlemeler ile Elektronik Sertifika Hizmet Sağlayıcılarının (ESHS) kurulması ve işletilmesi için gerekli kurallar tanımlanmıştır. Bu kurallar ve atıfta bulundukları standartlar elektronik sertifika ve elektronik imzayla ilgili genel çerçeveyi çizmektedir. ESHS’lerin yayınladıkları nitelikli elektronik sertifikaların birbiriyle uyumlu olması, birlikte çalışabilirliğin sağlanması açısından oldukça önem arz eden bir husus haline gelmiştir. ESHS’lerin ortak bir elektronik sertifika profili kullanarak sertifika oluşturmaları, problemleri ortadan kaldıracak ve elektronik imza yazılımlarının sorunsuz olarak yazılarak Türkiye'de elektronik imza kullanımının yaygınlaşmasını sağlayacaktır. Bu bağlamda, sertifikalar arasındaki uyumun sağlanması amacıyla Kurumumuzda gerçekleştirilen koordinasyon faaliyetleri sonucunda tüm ESHS’lerin üzerinde uzlaşıya vardığı bir “Nitelikli Elektronik Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri Rehberi” oluşturulmuştur. Bu doküman, elektronik imza mevzuatına uygun nitelikli elektronik sertifika profili, SİL profili ve OCSP profili tanımlamakta ve nitelikli elektronik sertifika profilinin kanunda tanımlanan nitelikli elektronik sertifika şartlarını nasıl sağladığını ifade etmektedir. Dokümanın son bölümünde de bu profillere göre oluşturulmuş örnek sertifika, SİL ve OCSP istek ve cevap mesajları kodlaması gösterilmektedir. 2. Dayanak 6 Ocak 2005 tarih ve 25692 sayılı Resmi Gazete yayımlanan 5070 Sayılı Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 35 inci maddesinde “Elektronik imzayla ilgili bu Yönetmelikte hüküm bulunmayan haller için Kurul Kararı ile düzenleme yapılır” hükmü yer almaktadır. Bu bağlamda ESHS’lerin yayınladıkları nitelikli elektronik sertifikaların birbiriyle uyumlu olması ve birlikte çalışabilirliğin sağlanması açısından varolan ihtiyaçların karşılanmasına yönelik olarak söz konusu Yönetmeliğin 35 inci maddesine istinaden “Nitelikli Elektronik Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri Rehberi” oluşturulmuştur. 3. Tanımlar ve Kısaltmalar ESHS: Elektronik Sertifika Hizmet Sağlayıcısı, ETSI (European Telecommunications Standards Institute): Avrupa Telekomünikasyon Standartları Enstitüsü, ETSI TS (ETSI Technical Specification): ETSI Teknik Özellikleri, IETF RFC (Internet Engineering Task Force Request for Comments): İnternet Mühendisliği Görev Grubu Yorum Talebi, 17 Sayfanın 4. Sayfası ISO/IEC (International Organisation for Standardisation / International Electrotechnical Commitee): Uluslararası Standardizasyon Teşkilatı / Uluslararası Elektroteknik Komitesi, ITU (International Telecommunication Union): Uluslararası Telekomünikasyon Birliği, OCSP (Online Certificate Status Protocol): Çevrimiçi Sertifika Durum Protokolü, SHA (Secure Hash Algorithm): Güvenli Özet Algoritması Nesne Belirteci (Object Identifier), SİL : Sertifika İptal Listesi 4. Sertifika Profili Bu profil, temel olarak ETSI TS 101 862 [2] 'de tanımlanan nitelikli sertifika profilini alarak T.C. 5070 sayılı Elektronik İmza Kanunu [1] 'nda belirtilen Nitelikli Elektronik Sertifika için bir profil tanımlar. Profil tanımlanırken Telekomünikasyon Kurumu tarafından yayınlanan tebliğ [3] göz önünde bulundurulmuş ve tebliğe uygunluk sağlanmıştır. ETSI TS 101 862 [2] temel olarak alındığından, RFC 3739 [4] , RFC 3280 [5] ve X.509 [6] 'da ifade edilenlerin tümü (tersi burada açık bir şekilde belirtilmediği sürece) geçerlidir. 4.1 Zorunlu Sertifika Alanları Aşağıda belirtilenler dışındaki zorunlu alanlar diğer dokümanlarda tanımlandığı gibidir. 4.1.1 Genel kurallar Subject ve Issuer gibi alanlarda kullanılan niteliklerde değer olarak genelde DirectoryString tipi kullanılmaktadır. DirectoryString tipi PrintableString, TeletexString, BMPString, UTF8String ve UniversalString tiplerinden birinin seçilmesi olarak [5] tanımlanmıştır. DirectoryString tipi ile tanımlanan nitelikler kullanıldığında UTF8String seçeneği kullanılarak kodlama yapılmalıdır. C, serialNumber ve dc gibi DirectoryString olmayan diğer nitelikler kullanıldığında kodlama niteliğin tanımlandığı gibi yapılmalıdır. Eğer tanımda UTF8String seçilebilirse, UTF8String kullanılmalıdır. C ve serialNumber için PrintableString, dc için IA5String kodlaması kullanılmalıdır [5] . 4.1.2 Geçerlilik (Validity) Alanı RFC 3280 [5] 'de belirtildiği gibi 2049 yılına kadar UTCTime kullanılmalı ve zaman GMT(Zulu) olarak kodlanmalıdır. Detaylar için [5] 4.1.2.5 geçerlidir. 4.1.3 Yayımcı (Issuer) Alanı Bu alanda Telekomünikasyon Kurumu tarafından onaylanmış bir isim bulunmalıdır. O niteliğinde ESHS'nin resmi adı yer almalıdır ve C niteliği "TR" olmalıdır. Bu alanda yer alacak diğer nitelikler ESHS'nin seçimine bağlıdır. 17 Sayfanın 5. Sayfası 4.1.4 Özne (Subject) Alanı Bu alan, sertifikanın verileceği kişinin ayırtedilebilir adını içerir. Özne alanı RFC 3739 [4] 'daki şartlara uygun olarak doldurulmalıdır. Bu şartlara ek olarak commonName, serialNumber ve C niteliklerinin bulunması zorunludur. CommonName niteliğinde sertifika alan kişinin tam adı (adı ve soyadı), serialNumber niteliğinde T.C. Kimlik numarası ve C niteliğinde “TR” değeri bulunmalıdır. Sertifika Türk vatandaşına verilmiyorsa serialNumber alanı pasaport numarasını içermelidir. C niteliği bu durumda da “TR” değerini içermelidir. CommonName niteliğine isim yazılırker kısaltmalar kullanılmamalı ve tam isim yazılmalıdır. Bu nitelik yazılırken ismin ilk harflerinin büyük diğer harflerinin küçük ve soyismin tüm harflerinin büyük olarak yazılması önerilmektedir. Title niteliği sertifika alan kişinin meslek ve/veya ünvan bilgisini içerebilir. Fakat bu nitelik sadece bilgi amaçlı kullanılabilir, meslek ve/veya ünvan belirtmek zorunda değildir. 4.1.5 Açık Anahtar (Public Key) Alanı Verilecek sertifikaların anahtarları, tebliğde [3] belirtilen algoritma ve anahtar boylarına uyumlu olmalıdır. 4.2 Eklentiler 4.2.1 Yetkili Anahtarı Tanımlayıcısı (Authority Key Identifier) ve Özne Anahtarı Tanımlayıcısı (Subject Key Identifier) Eklentileri Bu iki eklentinin de sertifikada bulunması önerilir. Özne anahtar tanımlayıcısı eklenti değerinin RFC 3280 [5] 4.2.1.2 de geçen iki yöntemden birincisi ile oluşturulması önerilir. Buna göre, subjectPublicKey değeri (BIT STRING içine kodlanmadan önceki hali) 160 bit SHA-1 ile özetlenip kullanılır. Yetkili Anahtar tanımlayıcısı eklentisinin değeri aşağıdakilerden biri olmalıdır: 1. AuthorityKeyIdentifier ASN1 yapısı içindeki keyIdentifier kullanılır ise; sertifikayı yayımlayan yetkilinin sertifikasındaki özne anahtarı tanımlayıcısı buraya yazılmalıdır. 2. AuthorityKeyIdentifier ASN1 yapısı içindeki authorityCertIssuer ve authorityCertSerialNumber kullanılır ise; sertifikayı yayımlayan yetkilinin sertifikasındaki yayımcı ve seri numarası bulunmalıdır. Bu iki yöntemden birincinin kullanılması önerilmektedir. Bu eklentilerin kritik değil olarak işaretlenmesi gerekmektedir. 4.2.2 Anahtar Kullanımı (Key Usage) Eklentisi Anahtar Kullanımı eklentisi RFC 3739 [4]'da belirtildiği gibi bulunmak zorundadır. Anahtarların sadece elektronik imza amaçlı kullanıldığının ifade edilmesi için nonRepudiation (inkar edilemezlik) alanının tek başına veya digitalSignature (elektronik imza) alanıyla birlikte kullanılması, bunlar dışındaki anahtar kullanım alanlarının nitelikli elektronik sertifika içeriğinde bulunmaması gerekmektedir. Bu eklentinin kritik olarak işaretlenmesi önerilir. 17 Sayfanın 6. Sayfası 4.2.3 Sertifika İlkeleri (Certificate Policies) Eklentisi Sertifika ilkeleri eklentisi RFC 3739 [4] 'da belirtildiği gibi bulunmak zorundadır. Sertifika ilkesinin ilke tanımlayıcısı (Certificate Policies-Policy Identifier) için ESHS, TSE’den almış olduğu nesne belirtecinin altında tahsis ettiği sertifika ilke tanımlayıcısını kullanmalıdır. Sertifika ilkesi içinde, kullanıcı uyarısı (user notice) alanına, açık metin olarak aşağıdaki açıklamanın yazılması zorunludur. Bu sertifika, 5070 sayılı Elektronik İmza Kanununa göre nitelikli elektronik sertifikadır. Bu eklentinin kritik değil olarak işaretlenmesi önerilir. 4.2.4 Temel Kısıtlar (Basic Constraints) Eklentisi Kullanıcılara verilen sertifikalarda temel kısıtlar eklentisinin olması, cA değerinin yanlış(false) ve pathLenConstraint değerinin de bulunmaması önerilir. Böylece verilen sertifikanın kullanıcıya (end entity) ait olduğu açık olarak ifade edilmiş olacaktır. Bu eklentinin kritik değil olarak işaretlenmesi önerilir. 4.2.5 Genişletilmiş Anahtar Kullanımı (Extended Key Usage) Eklentisi Bu eklentinin kullanılmaması gerekir. 4.2.6 Özne Alternatif Adı (Subject Alternative Name) Eklentisi Bu eklentinin kullanılmaması önerilir. Eğer elektronik sertifikada e-posta adresi bulunması isteniyorsa, e-posta adresi rfc822Name içine IA5String tipinde [5] kodlanmalıdır. Bu durumda sertifikayı oluşturan ESHS, e-posta adresinin sertifika sahibine ait olduğunu belirtmiş olacaktır. Bu nedenle sertifikalara yazılacak e-posta adreslerinin kurumsal e-posta adresi olması ve e-posta adresini veren kurumdan alınacak bir belge ile sahibine ait olduğunun ispat edilmesi önerilir. Kullanılması durumunda, bu eklentinin kritik değil olarak işaretlenmesi önerilir. 4.2.7 Özne Dizin Nitelikleri (Subject Directory Attributes) Eklentisi Sertifikanın verildiği kişi hakkında ekstra bilgi bu eklentide verilebilir. Kişinin doğum tarihi (dateOfBirth), doğum yeri (placeOfBirth), cinsiyeti (gender), uyruğu (countryOfCitizenship) ve yaşadığı ülke (countryOfResidence) bilgileri RFC 3739 [4] 'da belirtildiği şekilde bu eklenti içine yazılmalıdır. Kişinin görevini sertifikada göstermek için özne dizin nitelikleri eklentisi içinde X.509 [6] 14.4'de tanımlanan role kullanılması önerilir. X.509 [6] 13.2 bu uygulamaya temel teşkil etmektedir. Role niteliği generalNames tipinde olmasına rağmen değer olarak registeredID seçeneği kullanılması önerilir. Bu eklentinin kritik değil olarak işaretlenmesi zorunludur [4]. 4.2.8 Nitelikli Sertifika İbareleri (Qualified Certificate Statements) RFC 3739 [4] 3.2.6'da tanımlanan qcStatements eklentisi nitelikli sertifika ibareleri için kullanılacaktır. Bu eklentinin nesne belirteci değeri RFC 3739 [4] 'da tanımlanmıştır. Oluşturulacak sertifikalarda aşağıda tanımlanan iki nitelikli sertifika ibaresi de bulunmalıdır. Para limiti ibaresi ise istenirse eklenebilir. Bu eklentinin kritik değil olarak işaretlenmesi önerilir. Bu alanın kritik olarak işaretlenmesi, içindeki tüm ibarelerin kritik olarak işaretlenmesi anlamına gelir. 17 Sayfanın 7. Sayfası 4.2.8.1 ETSI TS 101 862 Nitelikli Sertifika İbaresi ETSI TS 101 862 ile uyumlu sertifikalar üretmek için, bu dokümanda tanımlanan id- etsiqcs-QcCompliance nesne belirtecini içeren ve değeri boş olan bir ibare bulunmalıdır. 4.2.8.2 Telekomünikasyon Kurumu Nitelikli Elektronik Sertifika İbaresi Telekomünikasyon kurumu tarafından belirlenen nesne belirteci 2.16.792.1.61.0.1.5070.1.1 { joint-iso-itu-t(2) ülke(16) tr(792) yürütme(1) tk(61.0.1) nes-profili(5070) nes-ibaresi (1) nesuygunluğu (1)} kullanılarak oluşturulacak bir ibare bulunmak zorundadır. Bu ibare değer olarak UTF8String tipinde bir ASN1 yapısı içerebilir. Görsel olarak, bu sertifikanın nitelikli elektronik sertifika olduğu, değerde yazılacaktır. Aşağıdaki yazının değer olarak kullanılması önerilmektedir. Bu sertifika, 5070 sayılı Elektronik İmza Kanununa göre nitelikli elektronik sertifikadır. 4.2.8.3 Para Limiti İbaresi Sertifikanın kullanılacağı işlemler için para limiti olması durumunda kullanılacaktır. ETSITS 101 862 [2] 'de tanımlandığı gibi olacaktır. ETSI TS 101 862 [2] 'de tanımlanan Iso4217CurrencyCode yapısında, seçeneklerden PrintableString tipindeki alphabetic kullanılacaktır. Bu değer ISO 4217'de tanımlanan 3 karakterli para birimlerinden biri olmalıdır. Türk Lirası için "TRL", Yeni Türk Lirası için de "TRY" kullanılmalıdır. 4.2.9 SİL Dağıtım Noktası (CRL Distribution Points) Eklentisi Sertifikayla ilgili yayınlanacak SİL’e ulaşmak için gerekli bilgiyi içerir. Bu eklentinin yayınlanan nitelikli sertifikalarda bulunması gerekmektedir. 6. ‘da belirtildiği gibi, SİL ve sertifika yayınlayan makamlar aynı olmak zorunda olduğundan, eklenti içindeki distributionPoint alanı dolu olmalıdır. Belirtilen yerdeki SİL’in, tüm iptal sebepleri için durumu belirtmesi gerekmektedir. Dolayısıyla değer içindeki reasons alanı kullanılmamalıdır. Kritik değil olarak işaretlenmesi önerilir. 4.2.10 Hizmet Sağlayıcı Bilgi Erişimi (Authority Information Access) Eklentisi Hizmet sağlayıcı bilgi ve servislerine ulaşmak için kullanılır. Bu profile uyan sertifikalarda, erişim metodu olarak id-ad-ocsp seçilerek OCSP servisine ulaşım noktasının bulunması gerekir. Ayrıca erişim metodu olarak id-ad-caIssuers seçilerek hizmet sağlayıcı sertifikasına ulaşım noktasının bulunması da önerilmektedir. Böylece sertifikayı işleyen istemcilerin hizmet sağlayıcıyla ilgili bilgilere erişimi kolaylaştırılmış olacaktır. Kritik olarak işaretlenmemelidir. 17 Sayfanın 8. Sayfası 5. Nitelikli Elektronik Sertifika Şartları ile Uyum Aşağıdaki tablo, Elektronik İmza Kanunu [1] Madde 9'da tanımlanan nitelikli elektronik sertifikada bulunması zorunlu bilgilerin bu profil kullanılarak nasıl karşılandığını göstermektedir. Nitelikli Elektronik Sertifika Tanımı Bu profile göre istenen şartın nasıl sağlanacağı a) Sertifikanın "nitelikli elektronik sertifika" Bu dokümanda, 4.2.8 Nitelikli Sertifika olduğuna dair bir ibare İbareleri (Qualified Certificate Statements)'daki ibarelerden 4.2.8.1 ve 4.2.8.2 ibareleri ile. b) Sertifika hizmet sağlayıcısının kimlik Bu dokümanda 4.1.3 Yayımcı (Issuer) bilgileri ve kurulduğu ülke adı Alanı ile. c) İmza sahibinin teşhis edilebileceği Bu dokümanda 4.1.4 Özne (Subject) kimlik bilgileri Alanı ile. d) Elektronik imza oluşturma verisine Bu dokümanda 4.1.5 Açık Anahtar karşılık gelen imza doğrulama verisi (Public Key) Alanı ile e) Sertifikanın geçerlilik süresinin Bu dokümanda 4.1.2 Geçerlilik (Validity) başlangıç ve bitiş tarihleri Alanı ile f) Sertifikanın seri numarası X.509 [6] ve RFC 3280 [5] 'de geçen sertifika seri numarası (Serial number) ile. g) Sertifika sahibi diğer bir kişi adına Bu dokümanda 4.2.7 Özne Dizin hareket ediyorsa bu yetkisine ilişkin bilgi Nitelikleri (Subject Directory Attributes) Eklentisi belirtilen role niteliği ile. h) Sertifika sahibi talep ederse meslekî Bu dokümanda geçen 4.1.4 Özne veya diğer kişisel bilgileri (Subject) Alanı dışında ihtiyaç duyulursa RFC 3739 [4] 3.2.1 ve 3.2.2'de tanımlanan Subject Alternative Name ve Subject Directory Attributes eklentileri ile. i) Varsa sertifikanın kullanım şartları ve Kullanım şartları, bu dokümandaki 4.2.2 kullanılacağı işlemlerdeki maddî Anahtar Kullanımı (Key Usage) Eklentisi sınırlamalara ilişkin bilgiler ve 4.2.3'de belirtildiği gibi eklenen sertifika politikası içinde belirtilir. Maddi sınırlamalara ilişkin bilgi bu dokümandaki 4.2.8.3 Para Limiti İbaresi ile belirtilir. j) Sertifika hizmet sağlayıcısının X.509 [6] ve RFC 3280 [5] 'de sertifikada yer alan bilgileri doğrulayan tanımlandığı gibi sertifika imzalanır. güvenli elektronik imzası 6. Sertifika İptal Listesi (SİL) Profili Her ESHS, verdiği sertifikalarla ilgili iptal bilgisini içeren sertifika iptal listesi yayımlamalıdır. ESHS’nin sertifika ve SİL yayınlayan sertifika makamları aynı olmalıdır. Sertifika makamı tarafından yayımlanan SİL’ler, o sertifika makamı tarafından verilmiş tüm sertifikaları kapsamalıdır. 17 Sayfanın 9. Sayfası 6.1 Zorunlu SİL Alanları Aşağıda belirtilenler dışındaki zorunlu alanlar diğer dokümanlarda tanımlandığı gibidir. 6.1.1 Versiyon Bu profile uygun olarak yayınlanan tüm SİL’lerin versiyonu v2 olmalıdır. Versiyonun v2 olması 1 olarak kodlanması ile sağlanır. 6.1.2 İmza Algoritması SİL imzalamak için kullanılan algoritma, tebliğde [3] belirtilen algoritma ve anahtar boylarına uyumlu olmalıdır. 6.1.3 Yayımcı (Issuer Name) Alanı Sertifika profili 4.1.3’de belirtilen yayımcı alanı ile aynı olmalıdır. Sadece görsel değer olarak değil, kodlama olarak da aynı olması zorunludur. 6.1.4 Yayınlama Tarihi (This Update) SİL’in yayınlandığı tarihi gösterir. RFC 3280 [5] 'de belirtildiği gibi 2049 yılına kadar UTCTime kullanılmalı ve zaman GMT(Zulu) olarak kodlanmalıdır. Detaylar için [5] 4.1.2.5 geçerlidir. 6.1.5 Sonraki Yayınlama Tarihi (Next Update) Bir sonraki SİL’in yayınlanacağı en geç tarihi gösterir. ESHS’ler bu tarihten önce mutlaka yeni SİL yayınlamak zorundadırlar. Sonraki Yayınlama Tarihi, daha önce yayınlanmış tüm SİL’lerin sonraki yayınlama tarihlerinden sonra olmalıdır. ASN1 yapısında seçimli (optional) görünmesine rağmen, bu alanın SİL’lerde bulunması zorunludur. RFC 3280 [5] 'de belirtildiği gibi 2049 yılına kadar UTCTime kullanılmalı ve zaman GMT(Zulu) olarak kodlanmalıdır. Detaylar için [5] 4.1.2.5 geçerlidir. 6.2 SİL Eklentileri 6.2.1 Yetkili Anahtarı Tanımlayıcısı (Authority Key Identifier) Eklentisi Bu eklentinin SİL’de bulunması zorunludur. Değeri 4.2.1’de açıklanan yetkili anahtar tanımlayıcısı gibi olmalıdır. Bu eklenti kritik olarak işaretlenmemelidir. 6.2.2 SİL Numarası (CRL Number) Eklentisi Bu eklentinin SİL’de bulunması zorunludur. Bu numara, ESHS’nin yayınladığı SİL’ler için düzenli olarak artmalıdır. Böylece yayınlanan iki SİL’den hangisinin daha önce yayınlandığı kesin olarak bilinebilir. Bu eklenti kritik olarak işaretlenmemelidir. 6.3 SİL Eleman Eklentileri 6.3.1 Sebep Kodu (Reason Code) Eklentisi Sertifikanın iptal edilme sebebini belirtir. Eğer iptal sebebi bilinmiyorsa, belirsiz (unspecified (0)) olarak eklenmesi yerine, hiç eklenmemesi önerilir. Eğer sebep biliniyorsa, eklenmesi önerilir. Bu eklenti kritik olarak işaretlenmemelidir. 17 Sayfanın 10. Sayfası