日期:2018年12月5日
香港郵政核證機關根源證書更替計劃
- 更替根源證書"HONGKONG POST ROOT CA 1"的實施計劃
- 香港郵政證書撤銷清單(CRL),授權撤銷清單(ARL)及線上證書狀態應答 (OCSP Response)
A. 更替根源證書"HONGKONG POST ROOT CA 1"的實施計劃
香港郵政核證機關成立於2000年1月,是本港首間根據《電子交易條例》(香港法例第553章)而成立的認可核證機關。
自2003年5月15日開始,現行的根源證書"Hongkong Post e-Cert CA 1" ("Root CA1")已經用作簽發中繼證書,此等中繼證書用於簽發香港郵政電子證書,包括電子證書(個人),電子證書(機構),電子證書(保密),電子證書(機構職務)及電子證書(伺服器)。該根源證書有效期為二十年。
由於根源證書將於2023年5月15日到期,為可持續簽發長達4年有效期的認可證書,香港郵政核證機關將會更替根源證書Root CA1為根源證書"Hongkong Post Root CA 2" ("Root CA2") 及根源證書"Hongkong Post Root CA 3" ("Root CA3") ,日程如下:
| 日期 | 事項 |
|---|---|
| 由2018年12月5日起 | 倚據證書人士可要求提供測試用的證書。 |
| 2019年2月1日 |
電子證書(個人)/ 電子證書(機構)/ 電子證書(保密)/ 電子證書(機構職務)將由Root CA2註 (i) 簽發。((i)政府各政策局或部門登記人申請的電子證書(機構),或(ii)相關指定政府電子服務的電子證書(個人)/電子證書(機構)登記人除外註 (ii)) 政府各政策局或部門的電子證書登記人,或相關指定政府電子服務的電子證書登記人,其電子證書(個人) / 電子證書(機構)將繼續由Root CA1簽發註 (iii)。 |
| 2019年4月1日 | 政府各政策局或部門的電子證書登記人,或相關指定政府電子服務的電子證書登記人,其電子證書(個人) / 電子證書(機構)將由Root CA2簽發註(i) (iii)。 |
| 2019年7月1日 | 電子證書(伺服器)會由Root CA3簽發註 (iv)。 |
註 (i): Root CA2 擁有兩個中繼證書,分別為 "Hongkong Post e-Cert CA 2 - 15" ("SubCA2-15") 及 "Hongkong Post e-Cert CA 2 - 17" ("SubCA2-17") 。 兩個 中繼證書會在更替後簽發以下的電子證書:
| 根源證書 | 中繼證書 | 電子證書類別 |
|---|---|---|
| Root CA 2 | Sub CA 2-15 |
|
| Sub CA 2-17 |
|
註 (ii): 政府各政策局或部門的電子證書(機構)登記人,或相關指定政府電子服務的電子證書(個人)/電子證書(機構)登記人,其申請的電子證書(個人) / 電子證書(機構)將繼續由現時的中繼證書SubCA1-10 簽發。而所有電子證書(個人) "互認版" / 電子證書(機構)"互認版"則由新中繼證書SubCA2-15簽發。
註 (iii): 如有特別要求,政府各政策局或部門的電子證書登記人,或相關指定政府電子服務的電子證書登記人應與香港郵政核證機關商討,按個別情況及理由處理。香港郵政核證機關備存指定政府電子服務清單,各政策局/部門如需要將其電子服務包括在清單內須與香港郵政核證機關商討。電子證書申請表格會清楚註明適用於相關指定政府電子服務的電子證書(個人)/電子證書(機構)申請。
註 (iv): Root CA3的中繼證書"Hongkong Post e-Cert SSL CA 3 - 17" ("SubCA SSL3-17") 會在更替後用作簽發電子證書(伺服器)。
倚據證書人士應評注意以下有關根源證書更替之注意事項:
- 現有的Root CA1及其中繼證書會繼續更新及公佈其授權撤銷清單(ARL)和證書撤銷清單(CRL),並簽署線上證書狀態應答 (OCSP response),直到2023年5月15日其有效期屆滿為止。
- 現行及新的中繼證書將各自更新及公佈電子證書的撤銷資料在其證書撤銷清單內。相關的證書撤銷清單位址可以在證書的「證書撤銷清單分發點」(CRL Distribution Points) 欄位內找到。如果電子證書支援線上證書狀態應答,則現有和新的中繼證書將提供相關的線上證書狀態應答。有關詳情,請參閱以下B部分。
倚據證書人士應確保其應用程式能支援由現行及新的根源證書擁有之中繼證書所簽發的電子證書,證書撤銷清單(CRL)和線上證書狀態應答(OCSP response)。香港郵政核證機關建議倚據證書人士於2019年1月31日前完成測試,並會提供測試所需的協助。
即使根源證書更替後,登記人仍可繼續持有及使用現行已簽發的認可證書,直至其使用期屆滿。
如需任何協助,倚據證書人士可致電香港郵政核證機關客戶服務電話 2921 6633,或電郵至enquiry@eCert.gov.hk 查詢有關由新根源證書擁有的中繼證書所簽發的香港郵政電子證書事宜。
B. 香港郵政證書撤銷清單(CRL),授權撤銷清單(ARL)及線上證書狀態應答 (OCSP Response)
新中繼證書支援的證書撤銷清單
香港郵政每天三次更新及公布證書撤銷清單(更新時間為香港時間09:15、14:15及19:00(即格林尼治平時[GMT或UTC] 時間01:15、06:15及11:00))。
香港郵政每天三次更新及公布由中繼證書SubCA 2-15,SubCA2-17及SubCA SSL CA3-17證書撤銷清單,包含已暫時吊銷或已撤銷證書的資料。
-
「分割式證書撤銷清單」包含已暫時吊銷或已撤銷證書的信息。每個「分割式證書撤銷清單」可在以下位置(URL)給公開查閱:
- 由中繼證書SubCA 2-15發出的電子證書(個人)"互認版":
http://crl1.eCert.gov.hk/crl/eCertCA2-15CRL1_<xxxxx>.crl
由中繼證書"Hongkong Post e-Cert CA 2 - 15"所發出,其中 <xxxxx> 為包含5個數字或字符的字串。 - 由中繼證書SubCA 2-15發出的電子證書(機構)"互認版"及電子證書(機構職務):
http://crl1.eCert.gov.hk/crl/eCertCA2-15CRL2.crl由中繼證書"Hongkong Post e-Cert CA 2 - 15"所發出 - 由中繼證書SubCA 2-17發出的電子證書(個人)
http://crl1.eCert.gov.hk/crl/eCertCA2-17CRL1_<xxxxx>.crl
由中繼證書"Hongkong Post e-Cert CA 2 - 17"所發出,其中 <xxxxx> 為包含5個數字或字符的字串。 - 由中繼證書SubCA 2-17發出的電子證書(機構)及電子證書(保密):
http://crl1.eCert.gov.hk/crl/eCertCA2-17CRL2.crl - 有關電子證書(伺服器)的證書撤銷資料只會在證書撤銷清單公佈。
- 由中繼證書SubCA 2-15發出的電子證書(個人)"互認版":
- 整體證書撤銷清單包含分別由SubCA 2-15,SubCA2-17和SubCA SSL CA3-17頒發的所有已暫時吊銷或已撤銷證書的信息。每個整體證書撤銷清單都可在以下位置(URL)下載:
- 由中繼證書SubCA 2-15發出的電子證書(個人)"互認版",電子證書(機構)"互認版"及電子證書(機構職務):
http://crl1.eCert.gov.hk/crl/eCertCA2-15CRL1.crl 或
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post e-Cert CA 2 - 17 CRL1, o=Hongkong Post, c=HK) - 由中繼證書SubCA 2-17發出的電子證書(個人),電子證書(機構)及電子證書(保密):
http://crl1.eCert.gov.hk/crl/eCertCA2-17CRL1.crl 或
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post e-Cert CA 2 - 17 CRL1, o=Hongkong Post, c=HK) - 由中繼證書SubCA SSL CA3-17發出的電子證書(伺服器):
http://crl1.eCert.gov.hk/crl/eCertSCA3-17CRL1.crl 或
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post e-Cert SSL CA 3 - 17 CRL1, o=Hongkong Post, c=HK)
- 由中繼證書SubCA 2-15發出的電子證書(個人)"互認版",電子證書(機構)"互認版"及電子證書(機構職務):
新根源證支援的授權撤銷清單
香港郵政會更新及公佈授權撤銷清單,而清單內載有已暫時吊銷或已撤銷的中繼證書的資料。香港郵政會每年在其下次更新日期前或在有需要時更新及公佈。最新發出的授權撤銷清單可於下述位置下載:
- 根源證書Root CA2簽發的中繼證書SubCA 2-15 and SubCA 2-17:
http://crl1.eCert.gov.hk/crl/RootCA2ARL.crl or
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post Root CA 2, o=Hongkong Post, c=HK) - 根源證書Root CA3簽發的中繼證書SubCA SSL CA3-17:
http://crl1.eCert.gov.hk/crl/RootCA3ARL.crl or
ldap://ldap1.eCert.gov.hk (port 389, cn=Hongkong Post Root CA 3, o=Hongkong Post, c=HK)
新根源證書Root CA3及中繼證書SubCA SSL3-17支援的線上證書狀態應答(OCSP Response)
香港郵政核政機關已指定通過包含主題名稱相應的線上證書狀態通訊規約,將根源證書及其中繼證書簽署給線上證書狀態通訊規約的查閱者,如下所示:
根源證書
| 證書主體名稱 (CN) | 線上證書狀態通訊規約 (OCSP) 簽發者證書主體名稱 (CN) |
|---|---|
| "Hongkong Post Root CA 3" | "Hongkong Post Root CA 3 OCSP Responder" |
中繼證書
| 證書主體名稱 (CN) | 線上證書狀態通訊規約 (OCSP) 簽發者證書主體名稱 (CN) |
|---|---|
| "Hongkong Post e-Cert SSL CA 3 - 17" | "Hongkong Post e-Cert SSL CA 3 - 17 OCSP Responder" |
此外,具獨特性的物件識別碼(OID)"1.3.6.1.4.1.16030.1.6" 會分配給線上證書狀態通訊規約回應者,並在線上證書狀態通訊規約簽名者證書的"證書政策"字段中指定。
現有根源證書支援的授權撤銷清單及現有中繼證書支援的證書撤銷清單
現有的SubCA1-10和SubCA1-15將分別於2019年4月1日及2019年7月1日停止簽發實體證書。但他們將繼續在香港時間09:15,14:15和19:00(即格林尼治平時 [GMT或UTC] 時間01:15, 06:15和11:00)每天發布3次已暫停或已撤銷電子證書的證書撤銷清單(CRL),直到其有效期屆滿為止。
現有的根源證書Root CA1會繼續在下一個更新日期之前或必要時,發布包含已暫停或已撤銷的中繼證書的授權撤銷清單(ARL),直至其有效期屆滿為止。
根源證書Root CA1及中繼證書 SubCA1-15 將繼續提供線上證書狀態應答 (OCSP Response)直至其有效期屆滿為止。
如有查詢,請致電香港郵政核證機關客戶服務電話2921 6633或電郵至enquiry@eCert.gov.hk
