Classe A - certificats d'autorité (personnes morales)

Contenu du certificat

L'autorité détentrice est désignée sous forme de nom distinctif (distinguished name) dans le certificat, conformément à la norme X.509. Aucune information sur le requérant du certificat d'autorité réglementé n'est enregistrée en dehors de la SG-PKI. Le certificat proprement dit comprend l'IDE et le nom officiel de l'autorité sous les attributs «O=» et «OI=».

Le nom distinctif (distinguished name, DN) du certificat est défini selon les règles suivantes:

• C   = Code du pays CH ou LI selon la norme ISO 3166-1. Il désigne le pays de l'autorité indiquée sous «O», au titre du nom distinctif relatif (relative distinguished name, RDN).
• O   = Doit correspondre au nom figurant dans le registre IDE (vérifié par le CSP; 64 caractères max., https://www.uid.admin.ch).
• CN = Nom usuel du service administratif. Il ne doit pas concorder exactement avec le nom enregistré (désignation selon le registre IDE).
• OI  = NTRCH-CHE-nnn.nnn.nnn (= numéro IDE de l'autorité émettrice selon le registre IDE, conformément aux exigences énoncées dans la SCSE).
• OU_1-2 = Désignation plus précise de l'unité d'organisation selon annuaire fédéral (département, division, etc.) associée au certificat. Il est possible d'indiquer deux champs OU.
• OU₃ = Identification des autorités: 
  • Les unités IDE ayant les codes suivants pour la forme juridique sont considérées comme des autorités : 0117, tous commençant par 02 (par exemple GE - 0220 – acronyme ou désignation de l'autorité fédérale concernée (office fédéral))
• L  = Désignation de la commune dans laquelle l'autorité a son siège.
• SP = Désignation du canton dans lequel l'autorité a son siège.
• E-mail = adresse électronique pouvant figurer dans un rapport d'audit suite au contrôle automatisé d'un document signé électroniquement afin d'identifier l'interlocuteur compétent pour le type de document concerné.

Demande

Pour obtenir un certificat d'autorité réglementé, l'organisation doit impérativement avoir une entité IDE au sens de l'art. 3, al. 1, let. c, de la loi fédérale du 18 juin 2010 (état au 1^er janvier 2022) sur le numéro d'identification des entreprises (LIDE). Le demandeur doit être autorisé à signer pour l'entité IDE concernée. Cette autorisation peut être attestée grâce à un extrait du registre du commerce certifié conforme ou un pouvoir de représentation muni d'une signature juridiquement valable. Le demandeur doit se présenter personnellement pour l'émission du certificat.

Le demandeur ou le mandant doit signer les formulaires «Formulaire de demande d'un certificat d'autorité réglementé» et «Procuration pour une demande de certificat réglementé d'autorité de classe A» au moyen d'une signature électronique qualifiée, puis les envoyer au moyen d'une demande DWP à la Swiss Government PKI.
Si le formulaire de demande et la procuration sont signés à l'aide d'un certificat qualifié, il est possible de renoncer au rendez-vous personnel.

Utilisation du certificat

Plusieurs certificats peuvent être émis pour la même organisation (autorité). Les demandes peuvent être déposées par la même personne au sein de l'autorité.

• Un certificat d'autorités réglementé est créé sur le serveur de signature de l'infrastructure du Swiss Government PKI.
• Avec un certificat d'autorité délivré sur le serveur, le mandant peut accorder ou retirer à d'autres personnes le droit d'utiliser le sceau au moyen d’un mail signé (Portail de services de l'OFIT).
• Si un sceau délivré sur le serveur est utilisé à partir d'une application dotée d'une connexion TLS, l'autorisation est octroyée directement via l'application.

Révocation

La révocation peut être demandée directement auprès de la Swiss Government PKI au moyen du formulaire de révocation (Portail de services de l'OFIT). Elle est soumise aux mêmes conditions que la demande de certificat. La révocation peut également être sollicitée par le requérant.

• Dans quel cas faut-il demander la révocation?

  • Carte à puce volée ou introuvable
  • Carte à puce défectueuse
  • Perte ou oubli du code PIN et du code PUK de la carte à puce
  • Résiliation des rapports de travail
  • Modification de certaines données du certificat (nom de l'autorité, adresse électronique etc.)
  • Suspicion de compromission (publication) de la clé privée (un tiers pourrait utiliser un service, et notamment signer un courrier électronique)
  • Réorganisation
  • Non-observation des directives par l'utilisateur actuellement habilité (non-respect du CP/CPS)
  • Révocation indiquée pour d'autres raisons selon l'officier LRA

• Qui peut demander la révocation?

  • L'auteur de la demande initiale
  • Le titulaire du certificat: personne ayant le pouvoir de signature conformément à l'inscription dans le registre IDE ou dans le registre de commerce
  • Le supérieur hiérarchique
  • Le responsable de la Swiss Government PKI
  • Le délégué à la sécurité de la Swiss Government PKI
  • L'officier LRA de la Swiss Government PKI
  • Le DSIO de l'office

• Comment peut-on demander la révocation?

  • L'auteur de la demande initiale s'adresse personnellement à une autorité d'enregistrement locale.
  • Une personne habilitée envoie une demande de révocation par courrier postal à une autorité d'enregistrement locale.
  • Une personne habilitée signe une demande de révocation avec sa clé de signature, pour autant que ladite demande ne découle pas d'une compromission suspectée ou avérée de cette clé.

  Lorsque la demande de révocation n'émane pas de l'auteur de la demande initiale, elle doit toujours être effectuée par écrit et pourvue d'une signature.