亚洲诚信全球可信服务证书策略和电子认证业务规则（CP&CPS）

亚数信息科技（上海）有限公司（TrustAsia Technologies, Inc，中文简称 “亚洲诚信”，英语简称 “TrustAsia”）成立于 2013 年 4 月。2020 年 12 月，亚洲诚信 CA 通过国家密码管理局组织的商用密码的资格审查，获得由国家密码管理局颁发的《电子认证服务使用密码许可证》（许可证号：0060）。2021 年 11 月，TrustAsia CA 获得国家工业和信息化部颁发的《电子认证服务许可证》（许可证编号：ECP31010421056）。

亚洲诚信 CA 获得由中国质量认证中心（简称 “CQC”）颁发的《ISO9001 质量管理体系认证》、《ISO27001 信息安全管理体系认证》和《ISO22301 业务连续性管理体系认证》，均被中国合格评定国家认可委员会（简称 “CNAS”）及国际认可论坛（简称 “IAF”）认可。

亚洲诚信 CA 是国内杰出网络信息安全数字证书及安全监测解决方案提供商，旗下 “亚洲诚信” 是亚数信息科技（上海）有限公司的信息安全领域品牌，专业提供国际知名品牌数字证书及网络信息安全管理解决方案，深受网络信息安全领域认可和信赖。

我们将以国际标准化的运营管理和服务水平，为各行各业对通信和信息安全方面有需求的用户提供全球化的电子认证服务。

亚洲诚信 CA 签发的 CA 证书信息见信息库 https://repository.trustasia.com 。

本《证书策略与电子认证业务规则》(简称 CP&CPS) 按照中华人民共和国工业和信息化部发布的《电子认证服务管理办法》和《电子认证业务规则规范(试行)》进行编写。

本 CP&CPS 阐明了亚洲诚信 CA 如何开展电子认证业务，包括申请、批准、签发、管理、撤销和更新证书的业务方式和过程，以及相应的服务、法律和技术上的措施和保障，以供电子认证活动参与方了解并遵循。

本 CP&CPS 所阐述的内容遵循以下政策、指引和要求：

亚洲诚信 CA 会定期查看其更新情况，并持续修订 CP&CPS。如果本 CP&CPS 与上述相关标准规范中的条款有不一致的地方，则以上述正式发布的规范为准。若中国法律法规或政府机构认定 EVG 中的任何规定是非法的，亚洲诚信 CA 将通知 CA/Browser 论坛。

CA/B Forum OID({joint-iso-itu-t(2) international-organizations(23) ca-browser-forum(140) certificate-policies(1)})：

TrustAsia OID（{iso(1) identified-organization(3) dod(6) internet(1) private(4) enterprise(1) 44494}）：

电子认证服务机构 (Certification Authority，简称 CA) 指所有得到授权能够签发公钥证书的实体。

亚洲诚信 CA 是依法设立的电子认证服务机构，通过给从事电子交易活动的各方主体签发数字证书、提供数字证书验证服务等手段，成为电子认证活动的参与主体。

亚洲诚信 CA 作为多个 CA 的运营商，亚洲诚信 CA 执行与公钥操作相关的功能，包括接收证书请求、签发、撤销和更新数字证书，以及维护、签发和发布 CRL 和 OCSP 响应。有关亚洲诚信 CA 产品和服务的信息，请访问 www.trustasia.com。

注册机构 (RA) 代表 CA 建立起证书注册过程，确认证书申请者 (订户) 的身份，批准或拒绝证书申请，批准订户的证书撤销请求或直接撤销证书，批准订户的证书更新请求。

亚洲诚信 CA 除了承担 CA 的角色外，将自行担任 RA，不再另行设立 RA。

订户是指从亚洲诚信 CA 获得证书的所有最终用户，可以是个人、机构、或设备。订户通常需要同亚洲诚信 CA 签订合约以获得证书，并承担作为证书订户的责任。

订户并不总是证书中标识的一方，例如证书签发给组织的员工时。证书主题是证书中指定的一方。如本文所使用的，订户可以指证书的主题以及与亚洲诚信 CA 签订证书签发合同的实体。在验证身份和签发证书前，订户是申请人。在电子签名应用中，电子签名人、证书持有人即订户。

依赖方是基于对亚洲诚信 CA 签发的证书和（或）数字签名的信赖而从事有关活动的实体。依赖方可以是、也可以不是一个订户。

其他参与者是指为亚洲诚信 CA 的电子认证活动提供相关服务的其他实体。

根据此 CP&CPS 签发的证书可以用于所有的身份认证、加密、访问控制和数字签名，由证书中的密钥用法和扩展密钥用法字段指定。

亚洲诚信 CA 所签发的数字证书在功能上是受到限制的，只能应用于证书所代表的主体身份适合的用途。对于证书的应用超出本 CP&CPS 限定的应用范围，将不受本 CP&CPS 保护。

亚洲诚信 CA 所签发的证书禁止在任何违反国家法律、法规或破坏国家安全的情形下使用，禁止用于中间人 (MITM) 攻击，也禁止在任何违法犯罪活动或法律禁止的相关业务下使用，否则由此造成的法律后果由订户自行承担。

亚洲诚信 CA 认证系统可以提供正式证书和测试证书。

正式证书由亚洲诚信 CA 正式认证系统签发，必须按照 CP&CPS 中的规定做严格的身份鉴别。

测试证书由亚洲诚信 CA 测试认证系统签发，证书不可信，一般用来测试证书申请流程、系统适用性及技术可行性，不能用于任何正式用途。由于使用数字证书来处理或保护信息的应用场景很广泛，差异也较大，依赖方在确定是否根据此 CP&CPS 签发证书时，必须评估自己的应用场景是否适用以及相关的风险。此 CP&CPS 涵盖了几种不同类型的订户证书，具有不同的保护级别，下表描述了每种证书的适用场景。

本 CP&CPS 的管理机构是亚洲诚信 CA 安全策略委员会，该委员会负责制定、批准、发布、实施、更新、废止本 CP&CPS。亚洲诚信 CA 的安全策略委员会由来自于公司管理层、主管运营安全、技术安全、客户服务和人才安全等合适代表组成。

本策略文档的对外咨询服务等日常工作由策略部门负责。

亚洲诚信 CA 安全策略委员会是策略制定的主要机构，也是审核批准本 CP&CPS 的最高权威机构

本 CP&CPS 由亚洲诚信 CA 安全策略委会组织 CPS 编写组编制，该小组完成后提交安全策略委员会审核，经该委员会审批同意后，正式在亚洲诚信 CA 官方网站上发布。

本 CP&CPS 根据国家的政策法规、技术要求、业务发展情况以及 CA/Browser 论坛发布的 BR 和 EVG 的最新要求每年修订，由 CPS 编写组根据相关情况拟定 CP&CPS 修订内容，提交安全策略委员会审核，经该委员会批准后，递增版本号、更新发布时间/生效时间及修订记录，并正式在亚洲诚信 CA 官网上发布。

本文中的关键词 “必须”、“不得”、“要求”、“应”、“不应”、“应该”、“不应”、“推荐”、“可以” 和 “可选” 根据 RFC 2119 进行解释。

本文档所提日期的省略时间为北京时间 00:00:00（UTC+8）。

亚洲诚信 CA 信息库将及时在官方网站 (https://www.trustasia.com/cps) 发布，或根据需要采取其他可能的形式进行信息发布。发布内容包括 CA 证书、CP&CPS 修订和其它资料等，这些内容必须保持与 CP&CPS 和有关法律法规一致。

亚洲诚信 CA 通过 HTTP 发布证书撤销列表（CRL），订户或依赖方可以通过亚洲诚信 CA 签发的证书中 CRL 分发点地址获取 CRL。亚洲诚信 CA 发布的每个 CRL 包含一个递增的序列号。

亚洲诚信 CA 提供在线证书状态查询服务（OCSP），订户或依赖方可实时查询证书的状态信息。

亚洲诚信 CA 的 CP&CPS 可通过信息库 7d*24h 获得。至少每 365 天发布一次 CP&CPS。

亚洲诚信 CA 会定期跟进 CA/Browser 论坛标准的变化，并及时调整 CP&CPS 来符合标准。

亚洲诚信 CA 对于订户证书的 CRL 每天发布一次；对于子 CA 证书的 CRL 至少 12 个月发布一次，如果有子 CA 证书撤销的情况，则在 24 小时之内更新发布 CA 证书的 CRL。

亚洲诚信 CA 签发的数字证书符合 X.509 标准，分配给证书持有者唯一的甄别名 (Distinguished Name)，采用 X.500 标准命名方式。其命名做法符合 RFC 5280、基线要求和 EVG。亚洲诚信 CA 的证书含有签发机构和证书订户主体甄别名，对证书申请者的身份和其他属性进行鉴别，并以不同的标识记录其信息。证书持有者的标识命名，以甄别名形式包含在证书主题内，是证书持有者的唯一甄别名。

对于 SSL/TLS 服务器证书，所有的域名或 IP 地址都添加到主题别名中，而通用名称为主域名或 IP 地址，必须是一个出现在主题别名中的域名或 IP 地址。对于国际化域名（IDNs）, 亚洲诚信 CA 会将 IDN 的 punycode 格式的编码包含在主题名称或主题别名中。

在 SSL/TLS 服务器证书，所有的域名或 IP 地址都添加到主题别名中，而通用名为主域名或 IP 地址，必须是一个出现在主题别名中的域名或 IP 地址。在 TLS/SSL 证书的 subjectAltName 扩展名或 subject：commonName 字段中，不能包含保留私有 IP 地址或内部名称。在证书的 dNSName 条目中，不能带有下划线（_）字符。

在 DV 及 EV SSL/TLS 服务器证书的 subjectAltName 扩展名或 subject：commonName 字段中不能包含 IP 地址，且 EV SSL/TLS 服务器证书还不能包含通配符。

所有证书的命名规则和要求都被记录在本 CP&CPS 中，并符合 CA/Browser 论坛的要求。

亚洲诚信 CA 证书签发机构的主体甄别名命名规则如下：

亚洲诚信CA证书订户的主体甄别名命名规则如下：

亚洲诚信CA EV证书订户地主体甄别名命名规则如下：

亚洲诚信CA使用DN项(Distinguished Name)来标识证书主体及证书签发者的实体，DN项中的名称具有一定的代表性意义，可以与使用证书的最终实体的身份或特有的属性相关。证书主题名称标识了本证书所提到的最终实体的特定名称，描述了与主体公钥中的公钥绑定的实体信息。

订户证书所包含的名称具有一定的代表性意义，其中包含的主体识别名称，应当能够明确确定证书持有机构以及所要标识的网络主机服务器、或互联网域名，并且可以被依赖方识别。主体甄别名称应当符合法律法规等相关规定的要求。

本CP&CPS所述证书的订户在进行证书申请时必须提供真实名称和/或姓名。但在Sponsor-validated邮件安全证书DN中的组织名称可以显示化名，个人信息可以显示化名；在Organization-validated邮件安全证书DN中的组织名称可以显示化名。无论是组织化名或者是个人化名都须经过亚洲诚信CA严格的身份验证。

亚洲诚信CA签发的数字证书符合X.509 V3标准，甄别名格式遵守X.500标准。甄别名的命名规则由亚洲诚信CA定义。

在亚洲诚信CA信任域内，不同订户的证书的主体甄别名不能相同，且必须是唯一的。但对于同一订户，亚洲诚信CA可以用其唯一的主体甄别名为其签发多张证书。当证书申请中出现不同订户存在相同名称时，遵循先申请者优先使用，后申请者增加附加识别信息予以区别的原则。

证书中每一个主题名称的唯一性规定如下：

证书申请者不得在证书申请中使用可能侵犯他人知识产权的名称。亚洲诚信CA签发证书时并不验证订户对商标的使用权，也不负责解决商标相关纠纷。亚洲诚信CA可以拒绝或撤销具有商标争议的相关证书。

证书申请者必须证明其正当地持有与包含在证书中的公钥相对应的私钥，其证明方法可以是提交经过数字签名的PKCS#10格式证书签名请求(CSR)或者通过签署提供给RFC 8555第7.4节中定义的ACME协议的Finalize方法的CSR来证明拥有与证书请求中的公钥相对应的私钥。

如果申请者的身份是自然人，亚洲诚信CA将会审核其姓名、地址以及证书申请的真实性等相关必要信息。对于个人身份证书，亚洲诚信CA会根据个人所申请的证书类别的不同，执行不同的身份鉴别方式，一般而言，证书类别越高，安全等级越高，鉴别方式越严格，鉴别内容越全面。

申请者需要证明其对请求中包含的某些身份属性有控制权，例如其包含在证书请求中证书涉及的电子邮件地址或域名。申请者还可能被要求提交有效的政府签发的带照片的证件（如居民身份证、护照、驾驶证、军官证或其他同等证件）的清晰副本。亚洲诚信CA会验证证件的副本是否与所请求的名称匹配，以及其他相关信息是否正确。

亚洲诚信CA通过以下一种或多种方式来鉴别和验证：

此外，必要时，亚洲诚信CA还可以设定其它所需要的鉴别方式和资料。申请者有义务保证申请材料的真实有效，并承担与此相关的法律责任。

对于亚洲诚信CA签发的订户证书，亚洲诚信CA会建立评估标准用于识别存在潜在高风险欺诈情况的证书请求。对于被识别为“高风险”的证书请求，亚洲诚信CA可直接予以拒绝。

通常，除了该类型证书所必须要求的身份信息需要得到明确、可靠的验证以外，对于没有要求验证的订户信息，亚洲诚信CA不承诺相关信息的真实性，不承担相关的法律责任。

证书中的信息必须经过验证，验证来自于可信第三方数据源，未经验证的信息不得写入证书。

当机构订户授权申请代表人办理证书业务时，亚洲诚信CA会使用章节3.2.3中所列的来源去获取可靠的通讯方式，以此验证申请代表人申请证书的真实性。亚洲诚信CA可以直接与申请代表人确定证书申请的真实性，也可以与申请者组织内拥有权威的部门进行确认，例如申请者主要业务办公室，公司办公室，人力资源办公室，信息技术办公室或者亚洲诚信CA认为合适的其他部门。

亚洲诚信CA也可以允许申请代表人提供授权信、雇佣证明或任何同等方式来验证其属于上述机构以及其代表行为被该机构授权。

此外，亚洲诚信CA允许申请者指定独立个人来申请证书。若申请者以书面形式指定了可以进行证书申请的独立个人，则亚洲诚信CA不接受任何超出该授权的证书请求。在收到申请者已核实的书面请求时，亚洲诚信CA应向申请者提供其已授权人员的清单。

对于其他的电子认证服务机构，可以与亚洲诚信CA进行互操作，但是该电子认证服务机构的CPS必须符合亚洲诚信CA CP&CPS要求，并且与亚洲诚信CA签署相应的协议。

如果国家法律法规对此有规定，亚洲诚信CA将严格予以执行。

截至目前，亚洲诚信CA未签发任何交叉证书。

亚洲诚信CA支持在有效期内的证书订户进行密钥更新请求，订户可以选择生成一个新的密钥对来替换正在使用的密钥对或即将到期的密钥对。

证书密钥更新一般有两种情况：补发和换发。

亚洲诚信CA不提供证书被撤销后的密钥更新。

申请者或被授权代表申请者申请证书的个人可以提交证书申请。申请者对其或被授权代表人向亚洲诚信CA提供的任何数据负责。

EV证书申请必须由授权证书申请者提交并经证书批准人批准。证书申请必须附有合同签名人签署的（书面或电子）订户协议。

当亚洲诚信CA接收到订户的证书申请后，亚洲诚信CA验证团队会按本CP&CPS第3.2章节的要求，对订户的身份进行识别与鉴别。亚洲诚信CA会维护系统和流程，以便根据CP&CPS充分验证申请人的身份。通过电话、传真或电子邮件进行沟通的内容将与申请者通过亚洲诚信CA WEB界面或者API直接提供的所有信息一起安全存储。

亚洲诚信CA会根据以往因被怀疑或鉴别为网络钓鱼或具有其他诈骗用途而被拒绝证书请求或撤销的证书，建立和维护SSL证书高风险数据库列表，在接受证书申请时将会查询该列表信息。对于列表中出现的订户，亚洲诚信CA有权拒绝证书申请请求或执行额外的验证。

亚洲诚信CA会对待签发证书主题别名扩展项中的每一个DNSName做CAA记录检查，并按照4.2.4中的检查方法和结果判定是否批准该证书申请。

亚洲诚信CA验证团队在执行身份识别与鉴别时，将实施严格的职责分离控制程序，以确保没有任何一个人可以单独完成验证签发个人型、企业型及增强型证书。审核人员将严格执行本章节3.2的相关要求，完成证书的申请的初次审核，包括但不限于：使用可信数据库进信息比对，完成对申请人、合同签署人、证书经办人、证书审批人所需的验证，收集与验证相关信息和文件。复审人员将审查审核人员所收集的审核资料，核对每个验证项目以及检查审核人员的验证流程。复审人员不得参与审核环节的信息采集工作。唯有经过复核人员复核通过，证书才能被批准签发证书。亚洲诚信CA验证团队执行身份识别与鉴别的过程都会留下相应记录，供审计人员检查。

如果部分或所有的身份验证资料内容使用的语言不是亚洲诚信CA官方语言，那么亚洲诚信CA将会使用经过适当培训、具备足够的经验和判断能力的人员完成最终的交叉审核和尽职调查。

验证完成后，亚洲诚信CA验证团队会根据验证结果决定接受、拒绝申请或要求申请者补充递交相关材料。

在鉴别个人型、企业型与增强型证书中的信息时，若亚洲诚信CA根据本CP&CPS第3.2章节指定来源获得的数据证明文件不超过398天且该信息未发生变化，则亚洲诚信CA可使用该数据或证明文件；根据本CP&CPS第3.2.2.4章节以及第3.2.2.5章节验证过的域名及IP地址按照下表时间可以不用重复验证。

亚洲诚信CA不签发包含内部名称和保留IP地址的证书。

亚洲诚信CA不再签发顶级域名为arpa相关的证书。

在正常情况下，亚洲诚信CA会在合理时间范围内验证订户的信息并签发证书。除非与相关订户另有协议或其他协议中另有说明，否则并不规定完成证书申请的处理时间。

证书处理的时间很大程度上取决于订户何时提供完成验证所需的详细信息和文档以及是否及时地响应亚洲诚信CA的管理要求。证书申请请求会持续有效直至被拒绝。

对于SSL/TLS服务器证书，亚洲诚信CA遵循CA/Browser 论坛BR 3.2.2.8规定，在证书签发前，对证书申请中的所有主题名称和备用名称中的域名进行DNS CAA记录检查。

亚洲诚信CA根据RFC8659中的规定处理CAA记录中”issue”，”issuewild”，”issuemail”，"iodef"属性标签。

在使用ACME客户端进行证书申请时，CAA支持“accounturi”和“validationmethods”配置，其中accounturi为亚洲诚信CA维护的，可以用于请求签发证书并代表特定实体或相关实体组织的对象标识；validationmethods支持http-01以及dns-01两种方法。

亚洲诚信CA在处理CAA记录中的属性标签时，不会对”iodef”属性标签的内容进行操作。亚洲诚信CA尊重关键标签，但遇到关键标签中设置了无法识别的属性时，将拒绝为其签发证书。

CAA记录中若存在”issue” ,"issuewild" ，"issuemail"标签，且”issue” ,"issuewild" 不包含”trustasia.com”，亚洲诚信CA将拒绝为其签发相应证书。

CAA查询若出现以下失败情况，亚洲诚信CA仍可为其签发证书：

亚洲诚信CA将在查询CAA记录的有效期（有效期以CAA记录的生存时间或8小时中的较大值为准）内，向订户签发证书；同时也将详细记录CAA记录阻止的潜在签发，以便向CA/Browser论坛提供有关情况反馈。

CAA记录对于代码签名、文档签名证书、时间戳签名证书均不适用。

对于订户证书，亚洲诚信CA在签发之前确认证书请求的来源。

在签发过程中，RA管理员负责证书申请的审批，并通过操作RA系统将将签发证书的请求发往CA的证书签发系统。RA发往CA的证书签发请求信息须有RA的身份鉴别与信息保密措施，并确保请求发到正确的CA证书签发系统。CA证书签发系统在获得证书签发请求后，对来自RA的信息进行鉴别与解密。

亚洲诚信CA不直接从其根证书签发最终实体证书。在两个或多个证书透明度数据库中记录要在Chrome中受信任的SSL/TLS服务器证书。

在证书签发期间发生的数据库存储和CA进程受到保护，以防止未经授权的修改。

对于有效的证书签发请求，CA证书签发系统发送给订阅服务器。

亚洲诚信CA为所有能够直接签发证书的账户部署了多因素认证。

亚洲诚信CA在发布后的合理时间内以任何安全的方式提供证书。通常，亚洲诚信CA会在申请过程中，通过电子邮件将证书发送到订阅者指定的电子邮件地址。

订户全权负责在订户的计算机或硬件安全模块上安装已签发的证书。

订户被认为接受已签发的证书的行为包括但不仅限于：

亚洲诚信CA把证书交付给订户视为证书的发布。亚洲诚信CA视订户证书使用场景，同时会根据谷歌、苹果的要求，选择将证书发布在多个CT日志服务器中。

亚洲诚信CA遵照本CP&CPS中2.4和2.5章节中关于信息库机制的规定，向订户签发证书。该信息库只有CA被授权的角色人员才能监控并管理该高风险数据库或备用签发机制，同时，被授予权限的角色人员应维护并管理其完整性。若保密法等相关法律法规有要求，亚洲诚信CA将遵照相关要求，在获得订户同意后，再让其证书处于可检索状态。

亚洲诚信CA将不对其他实体进行通告。

订户在接受到亚洲诚信CA签发的证书后，应采取合理措施妥善保管密钥对并控制其使用授权。

订户应按协议规定、法律法规、CP&CPS的范围内使用密钥对。

依赖方应在依赖证书前考虑总体情况和损失风险。

当依赖方接收到加载数字签名的信息后，有义务进行以下确认操作：

以上条件不满足的话，依赖方有责任拒绝签名信息。

对于亚洲诚信CA签发的订户证书，证书到期前30日（含）起可以进行证书更新。订户选择保留原有密钥对重新签发证书,则订户需要保证其密钥对的安全性没有受到威胁。在证书到期前30日（含）起，亚洲诚信CA会通过邮件通知的方式通知订户更新证书。

若订户提交证书更新请求时不变更证书主体甄别名及相关身份信息，且原证书的验证时效未超过本CP&CPS第4.2.1章节规定的期限，则亚洲诚信CA可以参照原证书核实的数据及证明文件来验证更新证书的信息。

若订户提交证书更新请求时需要变更部分证书信息或原证书的验证时效已超过本CP&CPS第4.2.1章节规定的期限，则亚洲诚信CA将按照证书初次申请的流程及要求进行验证。

若订户原来证书已过期，再次申请证书时按证书初次申请的流程及要求进行验证。

请求证书更新的实体为已经申请过亚洲诚信CA证书的订户或其他授权代表人，且其证书剩余有效期少于30日（含）。

对于证书更新，其处理过程包括申请识别和鉴别、证书信息验证及签发证书。

同CP&CPS第4.3.2章节。

同CP&CPS第4.4.1章节。

同CP&CPS第 4.4.2章节。

同CP&CPS第 4.4.3章节。

当订户的证书出现下列情形时，订户可选择证书密钥更新服务：

请求证书更新的实体为已经申请过亚洲诚信CA证书且其证书未过期的订户或其授权代表人。

亚洲诚信CA对证书密钥更新请求的处理通过证书更新请求处理流程完成，参见本CP&CPS第4.6.3章节的描述。

同CP&CPS第4.3.2章节。

同CP&CPS第 4.4.1章节。

同CP&CPS第 4.4.2章节。

同CP&CPS第 4.4.3章节。

证书变更是指订户的证书在其有效期内，证书扩展信息的备用名称发生变更但不更新密钥，而重新签发新的证书。

不接受订户变更证书机构名称的请求，如需变更机构名称，订户需重新申请新的证书。

请求证书变更的实体为已经申请过亚洲诚信CA证书且其证书未过期的订户或其授权代表人。

当订户提交证书信息变更申请后，亚洲诚信CA会对证书信息进行重新验证，若原证书的申请资料可用且未过期（验证有效期参考第4.2.1章），则可以参考原资料进行审核验证，若上述资料不可用或已超期，则亚洲诚信CA会按照初次申请证书流程和要求进行审核验证，审核通过后，亚洲诚信CA将重新签发新的证书。

同CP&CPS第4.3.2章节。

同CP&CPS第 4.4.1章节。

同CP&CPS第 4.4.2章节。

同CP&CPS第 4.4.3章节。

请求证书撤销的实体可为订户、亚洲诚信CA、或经司法机构授权的司法人员。此外，依赖方、应用软件提供商，防病毒机构或其他的第三方可以提交证书问题报告，告知亚洲诚信CA有合理理由撤销证书。

涉及恶意软件的事件，亚洲诚信CA将按照以下方式处理：

亚洲诚信CA不支持撤销请求宽限期。

亚洲诚信CA在收到撤销请求后的24小时内，将调查与撤销请求相关的事实和情况，并向订阅者和提交撤销请求的实体提供初步报告。

在审查事实和情况后，CA将协助订户以及上报该证书初步报告或其他撤销相关的实体，以确定是否撤销证书或采取其他合理处置方式。如果确定撤销，CA将从收到撤销请求或与撤销相关的通知到发布撤销的时间不会超过第4.9.1.1中规定的时间范围。

撤销的时间，CA 将考虑以下标准：

证书撤销列表CRL作为公开的信息，没有读取权限的安全设置，依赖方可以自由的根据需要进行查询，包括查询证书撤销列表、通过亚洲诚信CA指定网站查询证书状态、通过在线证书状态协议（OCSP）方式查询等。

依赖方在信任此证书前，应根据亚洲诚信CA最新公布的CRL主动检查证书的状态，同时还需验证CRL的可靠性和完整性，以确认证书的有效性。

CRL可以通过公开的HTTP URL来访问。在签发第一张证书后的24小时内，CA会生产并发布：

签发订户证书的CA：

签发CA证书的CA：

CA会一直发布CRL，直到以下情况：

亚洲诚信CA CRL生成后会自动发布至公网，一般情况下1小时内生效，最长在24小时内生效。

OCSP响应的有效时间间隔是 thisUpdate和 nextUpdate字段之间的时间差，包括边界。在计算时间差时，3,600 秒等于一小时，86,400 秒等于一天，忽略闰秒。

对于以下证书序列号的情况,证书标记为“assigned”：

对于序列号未被标记为“assigned”的证书，则标记为“unassigned”。

以下内容适用于包含带有id-ad-ocsp访问方法的授权信息访问扩展的证书和预证书。

亚洲诚信CA提供的OCSP请求服务支持GET和POST两种方法，亚洲诚信CA按照RFC 8954的规定处理Nonce扩展（1.3.6.1.5.5.7.48.1.2）。

对于订户或预签名证书的状态：

对于下级CA证书的状态：

亚洲诚信CA至少每十二个月更新一次通过在线证书状态协议提供的信息；并且在吊销下级CA证书后的24小时内更新信息。

以下内容适用于OCSP响应者需要做出响应的证书状态。

亚洲诚信CA提供的 OCSP响应符合RFC 6960和/或RFC 5019，OCSP响应满足以下任一条件：

订户证书OCSP响应的有效时间间隔大于或等于八小时并且小于或等于十天。

如果OCSP响应器收到“unassigned”序列号的证书状态请求，则响应器不以“good”状态作出响应。如果OCSP响应器的CA未根据第7.1.2.3或第7.1.2.5节进行技术约束，则响应器不对此类请求作出“good”状态的响应。

与RFC6960一致。

不适用。

若订户或亚洲诚信CA发现或怀疑私钥泄露，应立即采取措施根据CP&CPS要求撤销密钥受损的证书，并重发证书。

任何依赖方发现私钥泄露,可通过邮箱（revoke@trustasia.com）向亚洲诚信CA报告，邮件中需要提供私钥泄露的证据：

亚洲诚信CA不支持证书挂起。

不适用。

不适用。

不适用。

证书状态信息可通过CRL和OCSP响应获得。

对于被撤销的证书，亚洲诚信CA在该证书到期前，不删除其在CRL及OCSP中的撤销记录。

证书状态服务全天候提供。亚洲诚信CA运行并维护其CRL和OCSP功能，其资源足以在正常工作条件下提供10秒或更短的响应时间。

在正常网络条件下，通过模拟电话线可以在不超过3 秒的时间内下载EV CS、EV SSL证书链的CRL。

亚洲诚信CA全天候响应优先级较高的证书问题。在适当情况下，亚洲诚信CA将此类疑问转交给执法机构，并且撤销此类疑问有关的主题证书。

OCSP响应程序可能不适用于所有证书类型。

不适用。

不适用。

亚洲诚信CA的机房和系统建设遵循下列标准实施：

亚洲诚信CA数据中心安装了具有以下功能的门禁系统：

整个区域还有视频监控系统，监控无盲区，对场地内外的重要通道实行7*24小时不间断录像。所有录像资料至少保留3个月，重大事件视频单独存档，以备查询。设置非法入侵检测报警、环境控制检测报警，声光报警，同时通知运维人员。

亚洲诚信CA有安全、可靠的电力供电系统及电力备用系统双路供电，以确保系统7*24小时正常供电及在出现供电系统出现供电中断是能够提供正常的服务。另外，还采用专用柴油机，可满足新建机房所有机架满负载可续航12小时以上。

机房内具有空调系统控制运营设施中的温度和湿度，功率按各机房机柜数量、设备满负载情况配置。

亚洲诚信CA机房高于地面1.45米并部署有漏水报警系统，一旦发生水患系统将立即报警，通知有关人员采取应急措施。

亚洲诚信CA机房消防报警系统采用柜式七氟丙烷自动灭火装置。系统通过设置在机房的温感和烟感采集消防数据，同时供系统实时处理用户火灾自动报警终端的报警数据和系统运行状态数据。

系统管理分手动模式和自动模式两种，实现网络系统实时检测、监测和系统的手动、自动控制模式的设定，并完成了系统设计的有关各种联动动作。

亚洲诚信CA对审计、归档、备份信息的介质保存在安全的设施中，使用物理访问控制进行保护，只允许授权人员访问且需要至少2名可信人员在场，采取了介质使用登记进行记录介质情况，并防止介质受到意外损坏。

亚洲诚信CA对不在使用的纸张文件和数据光盘进行粉碎处理，使信息无法恢复，加密设备在作废处理前根据设备制造商提供的方法将期初始化并进行特理销毁。

在处理作废内容时，至少2名可信人员在场。

亚洲诚信CA对关键数据、审计日志数据使用离线介质进行备份并运送到异地保存，保存设施满足5.1.7介质存储的描述。

亚洲诚信CA在提供电子认证服务过程中，将能从本质上影响证书的签发、使用、管理和撤销等涉及密钥操作的职位都视为可信角色。这些角色包括但不限于：

可信角色由管理层任命。每年维护和审查被任命为受信任角色的人员名单。

亚洲诚信CA在具体业务规范中对关键任务进行严格控制。对以下敏感操作实施多个可信角色共同完成，例如：

亚洲诚信CA在允许所有人员访问并执行其受信任角色所必需的系统之前，都需要向CA和RA系统进行身份验证。例如：

为保证系统安全，遵循可信角色分离的原则，即亚洲诚信CA的可信角色由不同的人担任。针对EV型证书，亚洲诚信CA确保没有任何一个人可以单独验证和授权签发EV证书，且此类控制是可审计的。

亚洲诚信CA对承担可信角色的工作人员的资格要求如下：

亚洲诚信CA或与有关的政府部门和调查机构合作，完成对可信员工的背景调查。 所有的可信员工和申请调入的可信员工都必须书面同意对其进行背景调查。背景调查必须符合法律法规的要求，调查内容、调查方式和从事调查的人员不得有违反法律法规的行为。背景调查应使用合法手段，尽可能地通过相关组织、部门进行人员背景信息的核实。

背景调查分为：基本调查和全面调查。 基本调查包括对工作经历，职业推荐，教育，社会关系方面的调查。 全面调查除包含基本调查项目外还包括对犯罪记录，社会关系和社会安全方面的调查。对于公开信任证书业务的关键岗位必须进行全面调查。

人事部门调查程序包括:

亚洲诚信CA根据可信角色的职位需求，给予相应的岗前培训，将员工参加培训的情况形成记录并存档。这些培训包括：

履行信息验证职责的审核人员，必须在上岗前接受上述全部培训，以确保其能令人满意地履行职责。审核人员须通过亚洲诚信CA定期安排的相关知识考核，以确保其具备履行职责所需技能。

对于充当可信角色或其他重要角色的人员，每年必须至少接受亚洲诚信CA组织的培训一次。对于认证系统运营相关的人员，每年至少进行一次相关技能和知识培训。此外，亚洲诚信CA将根据机构系统升级、策略调整等要求，不定期的要求人员进行继续培训。

亚洲诚信CA在职人员的工作岗位轮换周期和顺序将依据本机构的安全管理策略而制定。

当出现在职人员未经授权或超出权限使用亚洲诚信CA系统操作认证业务等情况时，亚洲诚信CA一经确认，将立即撤销该人员的登录证书、同时终止其系统访问权限，并视该人员未授权行为的情节严重性，实施对该名人员调理工作岗位、通报批评、罚款、辞退以及提交司法机构处理等措施。

亚洲诚信CA目前未聘用外部独立合约人从事认证相关的工作。

亚洲诚信CA提供给人员的文档通常包括但不限于以下几类：

亚洲诚信CA将记录处理证书申请和签发证书所采取行动的细节，包括产生的所有信息和收到的与证书申请相关的文件、时间和日期、以及参与人员。

如果亚洲诚信CA的应用程序无法自动记录事件，会实施手动程序以满足要求。

这些事件包括但不限于:

日志记录一般需包含：

对于系统的自动日志和操作人员的手工记录，亚洲诚信CA每月进行一次检查和汇总。

对系统安全日志，每月进行一次跟踪处理，检查违反策略和规范的重大事件。

亚洲诚信CA及其时间戳机构保留以下日志至少两年：

注意：虽然这些要求设定了最短的保留期限，但亚洲诚信CA及其时间戳机构可选择更大的时间期限值，以利于调查需要回溯和检查的可能发生的安全事件或其他类型的事件。

亚洲诚信CA的审计日志储存在数据库里并备份，其中包括有关文档中的审计信息和事件记录。

亚洲诚信CA执行严格的物理和逻辑访问控制措施，以确保只有授权人员才能接近这些审查记录，严禁未授权的访问、阅读、修改和删除等操作。

亚洲诚信CA的系统日志实时同步到日志服务器，并且每周备份到异地；手工纸质记录定期归档保存到专门的文件柜内。

关于电子审计信息，亚洲诚信CA的审计日志收集系统涉及：

对于纸质审计信息，则有专门的文件柜来实现收集归档。

当亚洲诚信CA发现被攻击时，将记录攻击者的行为，在法律许可的范围内追溯攻击者，保留采取相应对策措施的权利。亚洲诚信CA有权决定是否对事件相关实体进行通知。

亚洲诚信CA每年执行一次风险评估：

亚洲诚信CA除了归档第5.4.1章相关内容外，还对以下几类事件进行归档记录，包括但不限于：

存档的审计日志（如第5.5.1章中所述）将从其记录创建时间戳起至少保留2年，或者根据第5.4.3章要求保留的时间，两者以时间更长的为准。

亚洲诚信CA至少保留2年的记录包括：

亚洲诚信CA对电子、纸质形式的归档文件有安全的物理和逻辑保护，同时有严格的管理程序，确保归档文件不会被损坏，防止非授权访问、修改删除等行为的发生。

对于系统生成的电子记录进行定期备份，备份以离线介质形式进行异地存放；对于手工生成的电子记录，归档以SVN服务器进行备份。

对于纸质资料，不需要进行备份，但采取严格的安全措施保证其安全性，防止非授权访问、修改删除等行为的发生。

亚洲诚信CA在创建归档记录时，会自动用系统时间（非加密方法）对其进行时间标记。亚洲诚信CA的时间源服务器时间与通过国家测量研究所认可的世界协调时间（universal coordinated time，简称UTC)时间源同步。

亚洲诚信CA的时间戳机构（TSA）将记录以下信息，并将这些记录提供给具备资格的审计师，作为时间戳管理机构遵守这些要求的证明。

对于系统生成的电子记录，实时同步到日志服务器，且每周异地备份。

对于手工生成的电子记录，在内部存储服务中完成收集备份工作。

对于书面的归档资料，收集归档到文件柜中。

亚洲诚信CA采取了物理和逻辑的访问控制方法，以确保只有授权人员才能接近这些归档信息，严禁未授权的访问、阅读、修改和删除等操作。

亚洲诚信CA对业务系统及其他重要系统的资源、软件及数据进行了备份，并制定了相应的应急处理流程。当发生网络通信资源毁坏、计算机设备不能提供正常服务、软件被破坏、数据库被篡改等现象或因不可抗力造成灾难，亚洲诚信CA将按照灾难恢复计划实施恢复。

一旦物理场地出现了重大灾难，亚洲诚信CA将根据业务连续性计划在48小时内恢复部分服务。

亚洲诚信CA不为用户生成和交付私钥。

作为证书申请流程的一部分，订户生成密钥对，并在CSR中将公钥提交给亚洲诚信CA。

亚洲诚信CA的公钥包含在亚洲诚信CA自签发的根CA证书和中级CA证书中，订户和依赖方可从亚洲诚信CA官网下载根CA证书和中级CA证书。

为保证密钥的安全强度，亚洲诚信CA在签发证书前，使用lint工具进行密钥长度检测，以确保亚洲诚信CA不同类型的证书密钥遵循以下标准：

亚洲诚信CA和订户均需遵循本CP&CPS 6.1.1中的规定生成公钥，公钥参数由合规的设备/平台生成以保证公钥参数的质量。公钥需满足本CP&CPS 6.1.5中的要求。

亚洲诚信CA在签发证书前，使用lint工具进行公钥参数检测，以确保公钥参数满足以下：

亚洲诚信CA签发的X.509 v3证书包含了密钥用法扩展项，其用法与RFC 5280标准相符。对于亚洲诚信CA在其签发证书的密钥用法扩展项内指明了的用途，证书订户必须按照该指明的用途使用密钥。

根 CA 密钥一般用于签发以下证书和 CRL：

中级 CA 密钥一般用于签发以下证书和 CRL：

订户的密钥可以用于提供安全服务，例如身份认证、信息的加密和签名、不可抵赖性和信息的完整性等；加密密钥对可以用于信息加密和解密。

签名密钥和加密密钥配合使用，可实现身份认证、授权管理和责任认定等安全机制。

亚洲诚信CA用于CA密钥对和时间戳密钥对的加密模块均符合FIPS 140-2 Level 3标准。

用于代码签名、EV代码签名和文档签名证书的密码模块符合或高于以下标准：

亚洲诚信CA私钥的生成、更新、撤销、备份和恢复等操作采用多人控制机制，将私钥的管理权限分散到5位密钥管理员中，至少在3人及以上的密钥管理员在场并许可的情况下，插入管理员IC卡或USBKey并输入PIN码，才能对私钥进行操作。

亚洲诚信CA不会托管私钥。

亚洲诚信CA对根私钥和CA私钥进行备份，按照加密设备制造商提供的操作规范生成备份密文文件和备份恢复权限IC卡或USBKey并保存到公司的保险柜（或银行保管箱等安全等级不低于本地备份的场所）。

亚洲诚信CA不对订户证书的私钥进行归档，所有CA证书私钥也不由第三方进行归档。

亚洲诚信CA密钥对在硬件密码模块上生成，保存和使用。为了实现恢复，亚洲诚信CA按照加密设备制造商提供的操作规范，由多人控制对CA密钥进行备份。

另外，亚洲诚信CA还有严格的密钥管理流程对CA密钥对复制进行控制。所有这些有效防止CA私钥的丢失、失窃、修改、非授权的泄露、非授权的使用等。

亚洲诚信CA私钥存放在硬件密码模块中，激活需按本CP&CPS第6.2.2节，在至少半数以上的密钥管理员在场并许可的情况下，使用加密设备的操作员权限实现。当需要使用CA私钥时(在线或离线)，需要密钥管理员提供操作员IC卡或USBKey并输入PIN码才能完成。

对于亚洲诚信CA私钥，当CA系统向密码模块发出退出登录，或密码管理软件向密码模块 发出关闭指令，或存放私钥的硬件密码模块断电时，私钥进入非激活状态。

解除私钥的操作，在至少半数以上的密钥管理员在场并许可的情况下，密钥管理员使用含有自己的管理员卡登录服务器密码机并输入PIN码进行。

在亚洲诚信CA私钥生命周期结束后，亚洲诚信CA将CA私钥继续保存在一个备份硬件密码模块中，其他的CA私钥备份被安全销毁。同时，所有用于激活私钥的PIN码、IC卡或USBKey等也必须被销毁。

在CA私钥的商业目的或其应用已失去价值或法律责任到期之前，CA不得毁坏其私钥。

归档的CA私钥在其归档期限结束后，或当CA私钥备份或副本不再用于有效的商业目的时，需在多名可信人员参与的情况下安全销毁。CA私钥的销毁将确保CA私钥从硬件密码模块中彻底删除，不留有任何残余信息。

参考本CP&CPS 6.2.1。

亚洲诚信CA公钥归档参考第5.5章节。

亚洲诚信CA证书的最长有效期为：

TLS订户证书期限表：

对于时间戳证书相关的私钥，签发超过15个月后该私钥不再使用，并且在签发时间戳证书18个月内从保护私钥的硬件加密模块中删除。亚洲诚信CA将委派至少有两名可信人员见证和签署的密钥删除仪式来记录从硬件加密模块中删除私钥的情况。

亚洲诚信CA私钥的激活数据按照加密设备制造商提供的操作规范，在至少半数以上的密钥管理员在场且许可的情况下，由加密设备产生。

订户私钥的激活数据，包括用于下载证书的口令(以密码信封等形式提供)、USB Key、IC卡的登陆口令等，都必须在安全可靠的环境下产生。这些激活数据，都是通过安全可靠的方式，例如离线当面递交、邮政专递等方式交给订户。对于非一次性使用的激活数据，亚洲诚信CA建议用户自行进行修改。

如果订户证书私钥的激活数据是口令，这些口令必须：

对于CA私钥的激活数据（智能IC卡、PIN码），亚洲诚信CA按照可靠的方式由可信人员自己掌管。所有可信人员都被要求记住而不是记下他们的密码或与其他人分享。

订户的激活数据必须在安全可靠的环境下产生，必须妥善保管，或记住以后进行销毁，不可被他人所获悉。如果证书订户使用口令或PIN码保护私钥匙，订户应妥善保管，防止泄露或窃取。如果证书订户使用生物特征保护私钥，订户应注意防止其生物特征被人非法窃取。

当私钥的激活数据进行传送时，应保护他们在传送过程中免于丢失、偷窃、修改、非授权泄露、或非授权使用。

当私钥的激活数据不需要时将销毁，并保护它们在此过程中免于丢偷窃、泄露或非授权使用，销毁的结果是无法通过残余信息、介质直接或间接获得激活数据的部分或者全部，如记录有口令的在纸页必须粉碎。

考虑到安全因素，对于申请证书的订户激活数据的生命周期，规定如下：

CA系统的信息安全管理，按照国标《证书认证系统密码及其相关安全技术规范》、工业和信息化部公布的《电子认证服务管理办法》，参照ISO 27001信息安全管理体系要求，以及其他相关的信息安全标准，制定出全面、完善的安全管理策略和制度，在运营中予以实施、审查和记录。主要的安全技术和控制措施包括：身份识别和验证、逻辑访问控制、网络访问控制等。

对所有能够直接导致证书发放的账户实施多因素认证。

对系统运维人员，通过堡垒机登录系统实施操作，确保CA软件和数据文件安全可信，不会受到未经授权的访问。

核心系统必须与其他系统物理分离，生产系统与其他系统逻辑隔离。这种分离可以阻止未授权的网络访问。使用防火墙阻止从内网和外网入侵生产系统网络，限制访问生产系统的活动。只有CA系统操作与管理组中的、有必要工作需要、访问系统的可信人员可以通过口令访问CA数据库。

亚洲诚信CA的CA系统及其运营环境通过了第三方的安全评估及渗透测试，获得了相应测试报告。

亚洲诚信CA维护并更新Linting工具，以确保其在发布后的三个月内完成更新，每当Linting工具更新后，会用更新后工具检测所有未过期、未撤销的TLS/CS/SMIME订户证书。

亚洲诚信CA的软件设计和开发过程遵循以下原则：

亚洲诚信CA已制定了各种安全策略、管理制度与流程对认证系统进行安全管理。

认证系统的信息安全管理，严格遵循国家密码管理局的有关运行管理规范进行操作。

认证系统的使用具有严格的控制措施，所有的系统都经过严格的测试验证后才进行安全使用，任何修改和升级会记录在案。

亚洲诚信CA定期对系统进行安全检查，用来识别设备是否被入侵，是否存在安全漏洞等。

亚洲诚信CA通过内部变更控制流程来控制证书认证系统的研发和上线工作，确保该系统安全可靠。

证书符合X.509 V3版证书格式，版本信息存放在证书版本格式栏内。

亚洲诚信CA在按照RFC5280规定要求基础上，以下配置覆盖所有签发的证书。

本节介绍了适用于 CA 签发的所有证书的编码规则。第7.1.2节中可能会规定进一步的限制，但这些限制不会取代这些要求。

不适用。

不适用。

不适用。

不适用。

亚洲诚信CA的证书撤销列表符合X.509 v2的版本及格式要求。

CRL扩展：

撤销证书组件：

crlEntryExtensions组件：

CRLReasons：

RFC6960定义的OCSP V1版本。

与RFC6960一致。OCSP响应的singleExtensions不包含reasonCode (OID 2.5.29.21) CRL条目扩展。

亚洲诚信CA可根据提供的电子认证相关服务向本机构的证书订户收取费用，具体收费标准根据市场和管理部门的规定自行决定。

如果亚洲诚信CA签署的协议中指明的价格和亚洲诚信CA公布的价格不一致，以协议中的价格准。

在证书有效期内，亚洲诚信CA不对证书查询收取专门的费用。如果用户提出特殊需求，可能需要支付额外的费用，将由亚洲诚信CA与用户协商收取。

亚洲诚信CA对撤销列表(CRL)的获取不应收取费用。

如果亚洲诚信CA向订户提供证书存储介质及相关服务，亚洲诚信CA将在与订户或者其他实体签署的协议中指明该项价格。

其他亚洲诚信CA将要或者可能提供的服务的费用，亚洲诚信CA将会及时告知用户。

如果由于亚洲诚信CA的原因，造成订户合同无法履行、订户证书无法使用，亚洲诚信CA会将相关费用返还给订户。如非亚洲诚信CA原因，订户需要退款，以订户协议为准。

亚洲诚信CA购买了商业一般责任保险，保单限额至少为200万美元，专业责任/错误与遗漏保险的保单限额至少为500万美元。

无规定。

亚洲诚信CA如违反了本CP&CPS中规定的职责，证书订户可以申请亚洲诚信CA承担赔偿责任(法定或约定免责除外)。经亚洲诚信CA确认后，可对该实体进行赔偿。赔偿限制如下:

在亚洲诚信CA提供的电子认证服务中，以下信息视为保密信息:

亚洲诚信CA将以下信息视为不保密信息:

亚洲诚信CA有妥善保管与保护本CP&CPS第9.3.1中规定的保密信息的责任与义务。

亚洲诚信CA尊重证书订户个人资料的隐私权，保证完全遵照国家对个人资料隐私保护的相关规定及法律。同时，亚洲诚信CA将确保全体职员严格遵从安全和保密标准对个人隐私给予保密。

亚洲诚信CA将有关证书或CRL内容中未公开提供的所有个人信息视为隐私。亚洲诚信CA使用适当的保护措施和合理的谨慎程度来保护隐私。

订户持有的证书信息，以及证书状态信息不被视为隐私信息。

亚洲诚信CA有妥善保管与保护本节9.4.2中规定的证书申请者个人隐私的责任与义务。

亚洲诚信CA将采取适当的步骤保护证书订户的个人隐私，并将采取可靠的安全手段保护已存储的个人隐私信息。除非根据法律或政府的强制性规定，在未得到证书订户的许可之前，亚洲诚信CA保证不会把证书订户的除写入数字证书的个人资料外的个人信息提供给无关的第三方(包括公司或个人)。

依据法律、行政法规、规章、决定、命令等，由于司法执行或法律授权的行政执行需要，亚洲诚信CA有可能需要将有关信息在订户知晓或不知晓的情况下提供有关执法机关、行政执行机关。

如果证书订户要求亚洲诚信CA提供某类特定客户支援服务，如资料邮寄，亚洲诚信CA则需要把证书订户的姓名和邮寄地址等信息提供第三者如邮寄公司。

对其他信息的披露受制于法律、订户协议。

亚洲诚信CA在提供电子认证服务活动过程中对订户的承诺如下：

证书公开发布后，亚洲诚信CA保证除未经验证的订户信息外，证书中的其他订户信息都是准确的。

亚洲诚信CA不负责评估证书是否在适当的范围内使用，订户和依赖方依照订户协议和依赖方协议确保证书用于允许使用的目的。

亚洲诚信CA的注册机构在参与电子认证服务过程中的承诺如下:

订户一旦接受亚洲诚信CA签发的证书，就被视为向亚洲诚信CA及信赖证书的有关当事人作出以下承诺：

从事电子认证活动的其他参与者须承诺遵守本CP&CPS的所有规定。

如亚洲诚信CA违反了本CP&CPS 9.6.1中的陈述，证书订户可以申请亚洲诚信CA承担赔偿责任(法定或约定免责除外)。对于直接损失所负法律责任的上限为：

如出现下述情形，亚洲诚信CA承担有限赔偿责任：

另外，亚洲诚信CA赔偿限制如下：

如因下述情形而导致亚洲诚信CA或依赖方遭受损失，订户应当承担赔偿责任：

如因下述情形而导致亚洲诚信CA或订户遭受损失，依赖方应当承担赔偿责任：

本CP&CPS的任何修订在发布到亚洲诚信CA的在线信息库时正式生效，并且在更换为新版本之前以及亚洲诚信CA终止业务时一直有效。

当亚洲诚信CA终止业务时，本CP&CPS终止。

本CP&CPS终止后，其效力将同时终止，但对终止之日前发生的法律事实，本CP&CPS中对各方责任的规定及责任免除仍然适用，包括但不限于CP&CPS中涉及审计、保密信息、隐私保护、知识产权等内容，以及涉及赔偿的有限责任条款，在本CP&CPS终止后继续有效。

当由于某种原因，如内容修改、与适用法律相冲突，CP&CPS、订户协议、依赖方协议和其他协议中的某些条款失效后，不影响文件中其他条款的法律效力。

经亚洲诚信CA安全策略委员会授权，CPS编写小组每年至少审查一次本CP&CPS，确保其符合国家法律法规和主管部门的要求及相关国际标准，并符合认证业务开展的实际需要。

本CP&CPS的修改和更新，由CPS编写小组提出修订意见，经亚洲诚信CA安全策略委员会批准后，由CPS编写小组负责完成修订，修订后的CP&CPS经过亚洲诚信CA 安全策略委员会批准后正式对外发布。

修订后的CP&CPS经批准后将立即在亚洲诚信CA官网发布。对于需要通过电子邮件、信件、媒体等方式通知的修改，亚洲诚信CA将在合理的时间内通知有关各方，合理的时间应保证有关方受到的影响最小。

亚洲诚信CA全权负责确定CP&CPS的修订是否需要更改OID。

亚洲诚信CA必须对本CP&CPS进行修改的情形包括：CP&CPS中相关内容与管辖法律的不一致、国家监管部门对本机构认证业务有明确的更改或调整要求等。

本CP&CPS完整的文档结构包括：标题、目录、主体内容三部分。关于对目录和主体内容修改后的替代内容，将完全代替所有先前部分、并被放置在亚洲诚信CA的网站中以供查阅和浏览

亚洲诚信CA声明，根据本CP&CPS中详述的认证实体各方的权利和义务，各方当事人在未经过亚洲诚信CA事先书面同意的情况下，不能通过任何方式进行转让。

当本CP&CPS要求与中国大陆任何司法管辖区的法律、法规或政府命令（以下简称“法律”）发生冲突，亚洲诚信CA在必要的最小范围内对任何与之冲突的要求进行修改，以使其在管辖范围内合法有效。这仅适用于受该法律约束的操作或证书签发。在这种情况下，亚洲诚信CA立即（并在根据修改后的要求签发证书之前）在本CP&CPS第9.16.3节中详细引用具体的法律，以及具体实施的这些要求的相关修改。

亚洲诚信CA（在根据修改后的要求签发证书之前）将本CP&CPS中新增的相关信息通知CA/B论坛，方式是向 questions@cabforum.org 发送消息，并收到确认信息已发布到公共邮件列表且在 https://cabforum.org/pipermail/public/ （或在论坛可能指定的其他电子邮件地址和链接）的公共邮件档案中建立索引，以便CA/Browser论坛可以考虑对这些要求进行相应修订。

如果法律不再适用，则停止根据本节启用的对CA实践的任何修改，或者修改这些要求以使其能够同时遵守这些要求和法律。如上所述，亚洲诚信CA在90天内对实践进行适当的改变、调整CP&CPS进行修改并向CA/Browser论坛发出通知。

亚洲诚信CA声明，若证书订户、依赖方等实体未执行本CP&CPS中某项规定，不被认为该实体将来不执行该项或其他规定。

如果因战争、瘟疫、火灾、地震和天灾等不可抗力造成了违反、延误或无法履行本CP&CPS规定的担保责任，那么亚洲诚信CA将不对此类事件负责。