Nuove linee guida per le Regole tecniche e le raccomandazioni afferenti la generazione di certificati elettronici, firme e sigilli digitali

di Alfonso Contaldo -

Con la determinazione n. 121/2019 del 17 maggio u.s. l’Agid ha rivisto tecnicamente sia le regole per il riconoscimento e la verifica del documento elettronico (abrogando quindi la Deliberazione CNIPA n. 45 del 21 maggio 2009), sia quelle per la generazione di firme e sigilli digitali. Il regolamento eIDAS ha disposto alcuni obblighi in capo ai QTSP che emettono certificati qualificati per la generazione di firme e sigilli elettronici e certificati qualificati di autenticazione di siti web; individua i requisiti per la convalida delle firme elettroniche qualificate (art. 32) e, mutatis mutandis, dei sigilli elettronici qualificati (art. 40), come anche i requisiti per i certificati qualificati di autenticazione di siti web (art. 45) e per la validazione temporale elettronica qualificata (art. 42). Tali disposizioni individuano dei requisiti minimi che possono risultare non adeguati per la fruizione di servizi in rete offerti nello specifico contesto italiano. Un esempio in tal senso è l’assenza dell’obbligo di indicare nel certificato qualificato per la generazione della firma il codice fiscale del titolare, elemento indispensabile per diverse pubbliche amministrazioni italiane.
La determina n.121/2019 emanata ai sensi dell’articolo 71 del CAD, contiene nel paragrafo 3 (Obblighi) alcune previsioni rese obbligatorie in forza o in attuazione del regolamento eIDAS, mentre nel paragrafo 4 (Raccomandazioni) indicazioni volte a garantire maggiormente l’interoperabilità e la fruizione dei servizi in rete nel contesto italiano. Sebbene indicate come “raccomandazioni” devono essere interpretate nel significato previsto nella RFC-2119; pertanto la loro applicazione è fortemente consigliata. È evidente che trattandosi di raccomandazioni e non di obblighi, la loro disapplicazione non può comportare l’invalidità di certificati, firme e sigilli elettronici qualificati. Il paragrafo 5 contiene alcune indicazioni per il processo di convalida di firme e sigilli elettronici.
L’art. 24, paragrafo 2, lettera e) del regolamento eIDAS prevede che nell’ambito dei servizi fiduciari qualificati volti all’emissione di certificati qualificati e ai sistemi di validazione temporale elettronica qualificata, i prestatori di servizi fiduciari qualificati sono liberi di utilizzare le funzioni di hash e gli algoritmi crittografici con lunghezza delle chiavi purché adeguati al fine di ottemperare a quanto prescritto.
Ai fini dell’articolo 21, paragrafo 2, e dell’articolo 24, paragrafo 2, lettera a) del regolamento eIDAS, detti prestatori di servizi devono informare l’Agenzia in merito alla scelta effettuata e di come soddisfi quanto prescritto dall’articolo 24, paragrafo 2, lettera e) del regolamento eIDAS.
La piena applicazione delle raccomandazioni oggetto della determina nei certificati elettronici conformi alla specifica RFC-5280 è dichiarata attraverso la codifica, nel campo CertificatePolicies (OID 2.5.29.32), di un elemento PolicyIdentifier con valore AgIDcert (OID 1.3.76.16.5).
Pertanto i QTSP che si impegnano a fornire – salvo diversa richiesta degli interessati – i servizi oggetto della determina applicando le suddette raccomandazioni comunicandolo all’Agenzia, che pubblica tali informazioni sul proprio sito web istituzionale.
Per la generazione dei certificati qualificati, sono indicate le seguenti raccomandazioni: a) conformità con quanto stabilito nella specifica RFC-5280 e nelle norme ETSI EN-319-412-1 versione 1.1.1, EN-319-412-2 versione 2.1.1, EN-319-412-3 versione 1.1.1, EN-319-412-4 versione 1.1.1 e EN-319-412-5 versione 2.1.1.; b) l’estensione KeyUsage è presente e marcata critica. Il solo KeyUsage ammesso per i certificati qualificati di firma elettronica è il “Type A,” come descritto nella norma ETSI EN-319-412-2; c) al fine di ottemperare a quanto prescritto negli allegati I (lettera h), III (lettera h) e IV (lettera i) del regolamento eIDAS, è utilizzato l’accessMethod id-adcaIssuers, con accessLocation uniformResourceIdentifier; d) l’estensione authorityKeyIdentifier (OID 2.5.29.35) contiene almeno il campo keyIdentifier, non marcata critica; e) il campo SubjectDN (dati identificativi del titolare) è caratterizzato da: 1) il serialNumber (OID 2.5.4.5); 2) l’organizationName (OID 2.5.4.10) dei certificati di firma elettronica, eventualmente utilizzato per indicare l’appartenenza o l’affiliazione del titolare all’organizzazione; 3) il dnQualifier (OID 2.5.4.46) che contiene il codice identificativo del titolare presso il prestatore del servizio; 4) la possibilità di inserire nell’attributo description (OID 2.5.4.13) il codice EORI (Economic Operator Registration and Identification) di cui al Regolamento (UE) n. 312/2009 del 16 aprile 2009 e successive modificazioni; 6) al fine di normalizzare l’uso della sintassi dall’identificatore ‘legal person semantics identifier’ descritto nel paragrafo 5.1.4 della norma ETSI EN-319-412-1, nel caso di organizzazioni non dotate né di partita IVA né di NTR, ma solamente del codice fiscale, è possibile utilizzare la modalità descritta al numero 3 del paragrafo 5.1.4, utilizzando i due caratteri “CF” (esempio: CF:IT- 97735020584) ; 7) salvo quanto disposto nelle citate norme ETSI, eventuali ulteriori limiti d’uso sono inseriti nell’attributo explicitText del campo userNotice dell’estensione certificatePolicies. Sul sito istituzionale dell’Agenzia sono pubblicati i testi e le codifiche delle limitazioni d’uso che è auspicabile siano garantite agli utenti; 8) è fortemente sconsigliato l’utilizzo dei caratteri wildcard come “*” (esadecimale 0x2A) in tutti i nomi di dominio nei certificati qualificati di autenticazione di siti web.
Invece il profilo dei certificati di certificazione è conforme alla specifica RFC-5280, mentre il profilo dei certificati di marcatura temporale è conforme alla norma ETSI EN-319-422 versione 1.1.1. Per la codifica dei certificati deve essere utilizzato il formato ASN.1 – DER (ISO/IEC 8824, 8825) in rappresentazione binaria o alfanumerica, ottenuta applicando la trasformazione Base64 (RFC-1421 e successive modifiche); l’intestazione
e la coda previsti in RFC-1421 possono essere assenti. Nel primo caso il file contenente il certificato deve assumere l’estensione “cer” o “der,” nel secondo caso “b64.”
Le informazioni afferenti lo stato del certificato preferibilmente sono rese disponibili attraverso il servizio OCSP ed eventualmente anche tramite liste di revoca (CRL). Le informazioni sulla revoca e sospensione dei certificati sono liberamente accessibili in rete. Il processo di convalida di una firma elettronica qualificata o di un sigillo elettronico qualificato conferma la validità delle stesse purché siano verificate le condizioni di cui all’articolo 32 del regolamento eIDAS e siano generate conformemente a quanto stabilito negli atti di esecuzione emanati dalla Commissione Europea ai sensi del paragrafo 5 degli articoli 27 o 37 del regolamento eIDAS. Tuttavia si raccomanda che il processo di convalida della validazione temporale sia in grado di effettuare la verifica delle marche detached e dei formati RFC-5544 prima della loro adozione.