电子认证证书的业务规范

第三节　电子认证证书的业务规范

一、认证证书概述

电子签名认证证书，是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。在网上进行商务活动时，交易双方可以使用电子签名认证证书(简称数字证书或电子认证证书)来表明自己的身份，也可利用它对网络上传输的信息进行加密、解密、数字签名和签名验证，保证网上传递信息的机密性、完整性，以及交易对方的真实性，签名信息的不可否认性，以此保障网络应用的安全。

数字证书采用公钥体制，格式遵循X.509标准，一般包括证书申请者的名称及相关信息、申请者的公钥、证书的序列号、签发证书的认证机构的数字签名及证书的有效期等内容。通常可保存在电脑硬盘、智能卡或USB存储器中。

用户可通过安全可靠的方式向认证机构提供相关信息，提出认证申请，认证机构进行审核后，签发证书。认证机构的证书库是集中存放证书的地方，它存放在指定的公开目录下，这样用户就可公开其证书，一般用户可以由此处读取，拷贝证书，获得其他用户的证书和公钥。认证证书一方面可以用来向系统中的其他实体证明证书持有者的身份，另一方面由于每份证书都携带证书持有者的公钥，所以证书也可以向接收者证实某人或某个机构对公开密钥的拥有，同时也起着分发公钥的作用。^[6]

二、认证证书的颁发

认证机构的价值，在于通过严格的认证程序担保使用者的真实性，以法律方式规定认证程序，不但有揭示严格认证程序之效果，更重要的是，通过法律的公示，可以让人们产生信赖感。^[7]

(一)证书的签发

“证书签发实际上就是用认证机构的私钥对证书申请签名，并形成X.509格式的证书;证书以认证机构的私钥签名后，发送到目录服务器供用户下载和查询。”^[8]认证机构通过向其用户提供可靠的证书目录，保证证书上用户名称与公钥是真实有效的，以此来解决可能存在的欺诈问题。

认证机构签发证书，首先要收到证书用户的认证申请，然后需对申请者的身份等信息资料进行核查，认证机构或其业务受理点有责任对申请人的身份进行的验证，审核合格后方可签发认证证书。

(二)证书的内容

按照我国《电子签名法》第21条和工业与信息化部《电子认证服务管理办法》第28条的规定，电子认证服务提供者所签发的电子认证证书应当准确无误，其所载明的内容应当包括如下:电子签名认证证书应当准确载明下列内容:(1)签发电子签名认证证书的电子认证服务机构名称。(2)证书持有人名称。(3)证书序列号。(4)证书有效期。(5)证书持有人的电子签名验证数据。(6)电子认证服务机构的电子签名。(7)工业和信息化部规定的其他内容。

三、认证证书的管理

数字证书是认证机构对证书用户服务的内容，它是证明证书实体与其公开密钥唯一对应关系的数字凭证.从数字证书的申请到使用的全过程，必须有相应的业务规范，保障严格认证程序得以实现。

(一)证书的查询

证书的查询包含对证书申请处理过程的查询和对用户证书的查询两种情况。对第一类查询，认证机构应当根据用户在线查询请求，返回当前用户证书申请处理过程，让用户知悉有关证书申请处理过程的具体进程;对用户证书的查询，由证书目录服务器来完成，根据用户的查询请求，返回满足条件的证书。

(二)证书的更新

随着证书使用时间的增长，用户私钥被盗或丢失的概率就会加大，其风险也会增大。为了保证证书的安全使用，需要对证书的使用规定一个有效期限。在证书期限届满之前，认证机构应定期更新用户的证书，也可根据用户的请求更新证书。更新证书是在原有存储介质上进行操作，除审核用户的身份外，过程与签发过程相同。

(三)证书的废止与中止

证书的废止主要包括届满与撤销两种情况。证书期限届满，认证机构自动将证书废止，它是一种使认证服务关系归于完结的法律事实，是证书关系正常了结的方式。证书期限届满，解除了认证机构与证书持有者因签发证书和持有证书而产生的一系列义务。证书的撤销，则是在有效期满之前，为保证交易安全，在一定情况下，认证机构根据用户的请求或相关规定，撤销该证书，停止证书的使用。废止的证书一般通过将证书列入作废证书表(CRL)来完成，用户可通过查询CRL来了解证书的废止情况。证书的撤销，必须是在以下情形之一出现时，才得撤销:(1)证书持有人申请撤销证书;(2)证书持有人提供的信息不真实;(3)证书持有人没有履行双方合同规定的义务;(4)证书的安全性不能得到保证;(5)法律、行政法规规定的其他情况。

证书的中止，是在出现影响证书安全的情况下，采取的一种临时措施。在证书使用过程中，有时会出现一些紧急事件，影响认证安全，为了防止风险发生，认证机构可临时中止证书的使用，根据事态的发展，再决定恢复证书效力或废止证书。证书用户要求中止使用证书的，认证机构应当中止，并予以公布。

(四)证书的保存归档

数字证书集中保存在相应的数据库中，形成证书库。系统必须要确保证书库的完整性，防止伪造和篡改证书。“证书的保存方式除了存放于数据库之外，对于证书资料的公开部分，其方式主要是发布于信息公告栏。如此既可妥善保存，又可让证书信赖人随时查阅，达到充分利用、促进交易的效果。”^[9]

认证机构应当保存其颁发和撤销证书的记录。由于有时需对以前某个交易过程产生的电子签名进行验证，可能要求查询废止证书，所以，在证书废止过程中，认证机构特别应注意，不能随意丢弃废止的证书，而应当具备管理废止证书的功能，对作废证书进行业务归档。

四、认证证书的国外承认

电子商务是面向全球的，为了国际间电子商务交易的顺利进行，需要在国际间建立并维持一种可以信任的环境和机制，这使得电子认证服务的国际互认成为必要。

目前国际上对外国电子认证机构和电子认证证书的承认主要采用以下三种方式:一是通过国际条约或双边协定来处理，凡是加入跳跃或协定的国家均承认对方国家的认证机构在其境内颁发的认证证书的效力;二是行政核准方式，凡是符合本国规定的电子认证政策与可行性条件标准的境外认证机构，均可在本国范围内开展认证业务，其颁发的认证证书具有与境内电子认证机构所颁发的认证证书具有同等的法律效力;三是认证担保方式，境外认证机构寻求境内认证机构的担保，由后者承担前者在国内颁发的认证证书所产生的风险。

我国《电子签名法》第26条规定“经国务院信息产业主管部门根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。”工业和信息化部《电子认证服务管理办法》第42条规定:“经工业和信息化部根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。”

尽管从法律条文上来看，我国对承认境外证书的效力的问题已经在法律中加以规定了，但是迄今为止，我国尚未与其他国家就电子认证问题达成“有关协议或对等原则”，对境外签发的电子认证证书如何取得相应法律效力、需提交什么材料、依照什么程度操作等均未加以明确说明，缺乏实际操作性。当前我国应当积极参与有关国际条约、协定的协商，在保持开放和确保国家安全的前提下，签署有关条约、协定;将对等原则细化说明;制定具体的管理办法，规范境外签发证书的效力、境外认证机构的责任、跨国交叉认证等问题，促进我国与其他国家跨境贸易的发展。