日期:2015年7月22日
签发支援线上证书状态通讯规约 (OCSP) 的电子证书(伺服器)的过渡计划
线上证书状态通讯规约 (OCSP) 是获得电子证书撤销状态的两种机制之一。香港邮政核证机关现行的机制是实施多年的公布"证书撤销清单"。由于CA/Browser 论坛#1 已经公布线上证书状态通讯规约是签发SSL证书的基准要求,主要的核证机关已开始签发支援线上证书状态通讯规约的SSL证书。为了与业界的做法一致,香港邮政核证机关将分阶段落实签发支援线上证书状态通讯规约的电子证书(伺服器),过渡计划的安排如下:
日期 | 事项 |
由即日起 | 登记人可要求香港邮政核证机关提供测试用的支援线上证书状态通讯规约的电子证书(伺服器),以进行测试。 |
由2015年9月1日至2016年8月31日 |
所签发的电子证书(伺服器)将预设为支援线上证书状态通讯规约。 登记人可书面要求香港邮政核证机关签发有效期为一年的不支援线上证书状态通讯规约的电子证书(伺服器)。 |
由2016年9月1日起 |
只会签发支援线上证书状态通讯规约的电子证书(伺服器)。 所有不支援线上证书状态通讯规约的电子证书(伺服器)将停止签发。 |
由2016年9月1日起,香港邮政核证机关只会签发支援线上证书状态通讯规约的电子证书(伺服器),电子证书(伺服器)的登记人应准备采用支援线上证书状态通讯规约的电子证书(伺服器),并应评估有关安排对其伺服器和相关客户端应用程式可能带来的影响。如需要求提供测试用的电子证书,可致电香港邮政核证机关热线2921 6633或电邮至enquiry@hongkongpost.gov.hk。
#1 The CA/Browser论坛是一个由核证机关、网络浏览器供应商和应用软件的其他倚据人士组成的国际性组织。
现有不支援线上证书状态通讯规约的电子证书(伺服器)替换服务支援安排
香港邮政核证机关将推出支援线上证书状态通讯规约的电子证书(伺服器)替换服务,给予现有电子证书(伺服器)的用户。
替换服务支援安排具体信息如下:
替换服务时期 | 2015年9月1日起至2017年12月31日 |
用户类型 | 持有任何一种不支援线上证书状态通讯规约的电子证书(伺服器)的现有用户 |
支援安排 | 安排替换一张新的支援线上证书状态通讯规约的电子证书(伺服器),免登记费直至原电子证书(伺服器)有效期届满为止(注)。 |
如何申请 | 请致电香港邮政核证机关查询热线2921 6633或电邮至enquiry@hongkongpost.gov.hk进行资格确认及安排换取。 |
注:
1. 用户将需缴交所替换支援线上证书状态通讯规约的电子证书(伺服器)于原有不支援线上证书状态通讯规约的电子证书(伺服器)有效期以外的登记费,而其计算方法按月份比例收取。成功申请替换服务的申请人将会收到相关缴费通知单。若用户未能支付剩余登记费,香港邮政核证机关有权中止所替换的支援线上证书状态通讯规约的电子证书(伺服器)于原有不支援线上证书状态通讯规约的电子证书有效期届满后的相关服务。
2. 所替换支援线上证书状态通讯规约的电子证书(伺服器)的类型与用户原有不支援线上证书状态通讯规约的电子证书(伺服器)的类型一致。
3. 支援线上证书状态通讯规约的电子证书(伺服器)的有效期必须不短于原有不支援线上证书状态通讯规约的电子证书(伺服器)所剩余的有效期。
举例:
如果现行所使用的不支援线上证书状态通讯规约的电子证书(伺服器)(不属于"通用版"和"多域版")的有效期至2016年6月30日,而作为替换的为两年期支援线上证书状态通讯规约的电子证书(伺服器)(不属于"通用版"和"多域版") 其有效期为2016年1月1日至2017年12月31日,则需缴交剩余登记费的月数为18个月(由2016年7月至2017年12月),剩余每个月以折扣价HK$187.5计算 ,即为HK$3,375。
如有查询,请致电香港邮政核证机关热线2921 6633或电邮至enquiry@hongkongpost.gov.hk。
相关问答
1. 为何需使用支援线上证书状态通讯规约的电子证书(伺服器)?
线上证书状态通讯规约(OCSP)是证书撤销清单(CRL)的另一选择,两者都可用于获取电子证书的撤销状态。相比传统的证书撤销清单,线上证书状态通讯规约的方法包含更少的信息,因此,它对网络和客户的资源负担更少。支援线上证书状态通讯规约的电子证书(伺服器)被认为比现有的不支援线上证书状态通讯规约的电子证书(伺服器)更健全。
2. 此项安排对现有电子证书(伺服器)登记人及倚据人士有何影响?
香港邮政支援线上证书状态通讯规约的电子证书(伺服器)与原来的电子证书(伺服器)相似,这种电子证书添加了线上证书状态通讯规约的功能。因此,建议相关客户端应用程式的拥有人应检查是否需要作出系统代码的变更。由2015年9月1日起, 香港邮政核证机关将开始预设为登记人签发支援线上证书状态通讯规约的电子证书(伺服器)。在2016年8月31日或之前,香港邮政核证机关亦会因应登记人的书面要求,签发有效期为一年的不支援线上证书状态通讯规约的电子证书(伺服器)。伺服器管理员及倚据人士应评估所采用的系统和软件,并确保系统和软件备妥使用支援线上证书状态通讯规约的电子证书(伺服器)。
3. 电子证书(伺服器)的登记程序和撤销程序会否有所变更?
现有的电子证书(伺服器)的登记程序和撤销程序将维持不变。由2015年9月1日至2016年8月31日,所发行的电子证书(伺服器)将预设为支援线上证书状态通讯规约。登记人可书面要求香港邮政核证机关签发有效期为一年的不支援线上证书状态通讯规约的原电子证书(伺服器)。由2016年9月1日起,登记人无论提出新申请或续期,将只获签发支援线上证书状态通讯规约的电子证书(伺服器)。
4. 我所使用的不支援线上证书状态通讯规约的电子证书(伺服器)并未到期,是否需要支付更多费用以获得支援新的线上证书状态通讯规约的电子证书(伺服器)?
香港邮政核证机关为现有客户推出不支援线上证书状态通讯规约电子证书(伺服器)替换服务支援安排。成功申请替换服务的用户将需缴交所替换的支援线上证书状态通讯规约电子证书(伺服器)于原有不支援线上证书状态通讯规约电子证书(伺服器)有效期以外的登记费,而其计算方法按月份比例收取。成功申请替换服务的用户将会收到相关缴费通知单。若用户未能支付剩余登记费,香港邮政核证机关有权中止所替换的支援线上证书状态通讯规约电子证书(伺服器)于原有电子证书有效期届满后的相关服务。
5. 如果我想要申请现有电子证书(伺服器)替换服务支援计划,申请程序有哪些?
持有不支援线上证书状态通讯规约电子证书(伺服器)的现有客户,可致电香港邮政核证机关热线2921 6633或电邮至enquiry@hongkongpost.gov.hk,以申请此证书的替换服务。
6. 我们的伺服器采用不支援线上证书状态通讯规约的电子证书(伺服器)。是否可以要求香港邮政核证机关提供测试用证书以进行系统测试?
登记人可要求香港邮政核证机关提供测试用的支援线上证书状态通讯规约的电子证书(伺服器),以进行测试。登记人可致电香港邮政核证机关热线2921 6633或电邮至enquiry@hongkongpost.gov.hk,要求提供测试用的电子证书。