UniTrust PTC 订⼾协议 ver1.8

UniTrust PTC 订⼾协议 ver1.8

本订户协议（“本协议”）由您及您代表的公司、组织或其他实体（“您”）与上海市数字证书认证中⼼有限公司（“SHECA”， “UniTrust”）之间签订。

本协议⾃证书申请之⽇起⽣效，请仔细阅读本协议。申请证书或点击同意按钮即表⽰您同意并接受本协议的条款，如果您不同意本协议或本协议中的任何条款，那么您应在证书⽣效之⽇起的 30 个⾃然⽇内取消您的订单并获得全额退款。如果您对本协议有任何问题，您可以联系 xxxxxx@xxxxx.xxx 获得解答。

⼀. 定义和术语

AATL：指 Adobe Approved Trust List，由 Adobe 公司维护的根证书⼊根计划。

PDF：全称为可移植⽂档格式，是⼀种⽤独⽴于应⽤程序、硬件、操作系统的⽅式呈现⽂档的⽂件格式。

CA：指依法设⽴的第三⽅电⼦认证服务机构，是具有公信⼒的，是根据 CP 和 CPS 的要求签发、撤销和管理证书的实体，就本

协议⽽⾔，CA 指 UniTrust。

证书申请⼈：指向申请证书的⾃然⼈或法⼈实体，证书颁发后，申请⼈被视为订户。订户：接受证书且遵守订户协议和使⽤条款的⾃然⼈或法⼈实体。

公钥与私钥：公钥与私钥是通过⼀种算法得到的⼀个密钥对（即⼀个公钥和⼀个私钥），公钥是密钥对中公开的部分，私钥则是⾮公开的部分。

证书/数字证书：指 CA 签发的由数字签名绑定公钥和订户信息的电⼦⽂档。

SSL/TLS 证书：安全套接字层 (Secure Socket Layer, SSL) 是⽤来确保 Internet 通信和事务安全的最常见的标准，SSL/TLS 证书就是遵守安全套接字层协议，由受信任的 CA 机构，在进⾏严格的验证后颁发，具有服务器⾝份验证和数据传输加密功能。 SSL/TLS 证书根据验证级别分为域名型 SSL 证书（简称 DV SSL）、组织型 SSL 证书（简称 OV SSL）和增强型 SSL 证书（简称 EV SSL）三种类型。

通配符证书：证书中主题备⽤名称所列的任意域名最左侧包含“*”的 SSL/TLS 证书。

代码签名证书：通过对代码进⾏数字签名来标识软件来源以及软件开发者的真实⾝份并保证代码在签名之后不被恶意篡改的数字证书。

时间戳签名：确认数据在某⼀时间（之前）是已经存在的、完整的、可验证的，时间戳签名主要⽤于数据防篡改和事后抵赖，确定数据产⽣的准确时间。

证书透明度：也称证书透明、证书透明化，它是⼀个实验性的 IETF 开源标准和开源框架，⽬的是监测和审计数字证书。

密钥泄漏：如果私钥被泄漏给未经授权的⼈，且未经授权的⼈可以访问或使⽤私钥，则称私钥被泄露。

主题备⽤名称：是⼀项对 X.509 的扩展，它允许在 SSL/TLS 证书中使⽤ subjectAltName 字段将多种值与证书关联，这些值被称为主题备⽤名称。

CRL：证书撤销列表是尚未到期就被证书颁发机构撤销的数字证书的名单。这些在证书撤销列表中的证书不再会受到信任。

OCSP：在线证书状态协议是⼀个⽤于获取 X.509 数字证书撤销状态的⽹际协议，作为证书撤销列表的替代品解决了在公开密

钥基础建设中使⽤证书撤销列表⽽带来的多个问题。

Token：本协议中指符合 FIPS 140-2 或国家密码管理局要求的密钥存储硬件介质。

CA/浏览器论坛：它是⼀个证书颁发机构、浏览器软件供应商、操作系统，以及其他采⽤ PKI 的应⽤程序的⾃愿联合体，为浏览器和证书颁发机构提供互联⽹安全⾏业标准。

UniTrust 证书策略（“CP”）： 本政策的最新版本可以通过访问 xxxxx://xxx.xxxxx.xxx/xxxxxxxxxx 获取。

UniTrust 证书认证业务规则（“CPS”）： 本政策的最新版本可以通过访问 xxxxx://xxx.xxxxx.xxx/xxxxxxxxxx 获取。

UniTrust EV 证书策略（“EV CP”）： 本政策的最新版本可以通过访问 xxxxx://xxx.xxxxx.xxx/xxxxxxxxxx 获取。 UniTrust EV 证书认证业务规则（“EV CPS”）： 本政策的最新版本可以通过访问 xxxxx://xxx.xxxxx.xxx/xxxxxxxxxx 获取。发⾏和管理公开可信证书的基线要求（“BR”）： Baseline Requirements for the Issuance and Management of Publicly-

Trusted Certificates，本⽂档最新版本可以通过访问 xxxxx://xxxxxxxx.xxx/xxxxxxxx-xxxxxxxxxxxx-xxxxxxxxx 获取。

发⾏和管理 EV 证书准则（“Guidelines”）： Guidelines For The Issuance And Management Of Extended Validation Certificates，本⽂档的最新版本可以通过访问 xxxxx://xxxxxxxx.xxx/xxxxxxxx-xxxxxxxxxx 获取。

发⾏和管理公开可信的代码签名证书的基础要求（“MRCS”）： Minimum Requirements for the Issuance and Management of Publicly-Trusted Code Signing Certificates，本⽂档的最新版本可以通过访问 xxxxx://xxx.xx/xxxx 获取。

发⾏和管理 EV 代码签名证书准则（“EVCS Guidelines”）： Guidelines For The Issuance And Management Of Extended Validation Code Signing Certificates，本⽂档的最新版本可以通过访问 xxxxx://xxxxxxxx.xxx/xx-xxxx-xxxxxxx-xxxxxxxxxxx- guidelines 获取。

⼆. 证书的使⽤和权限

授权

⾃订户证书的⽣效⽇起，UniTrust 授权订户使⽤证书的权利。

证书的使⽤范围

订户应仅在授权使⽤的范围内使⽤证书，否则 UniTrust 不对使⽤证书产⽣的结果负任何责任。

三. UniTrust 提供的服务

证书撤销状态查询服务

UniTrust 提供证书撤销列表（“CRL”）和在线证书状态协议（“OCSP”）作为证书撤销状态的查询服务。

证书撤销服务

满⾜以下任⼀情况 UniTrust 将撤销已签发的订户证书：

1. 订⼾以书⾯形式要求 UniTrust 撤销证书；

2. 订⼾通知 UniTrust 证书申请未经授权，且不追溯授权；

3. UniTrust 获得了证书中公钥相对应的私钥已泄漏的证据；

4. 订⼾证书不再符合 BR 要求的算法和密钥⻓度；

5. UniTrust 获得了证书被滥⽤的证据；

6. UniTrust 了解到订⼾违反了本协议的⼀项或多项义务；

7. UniTrust 了解到订⼾不再被合法的允许使⽤证书中的域名或 IP 地址（如：法院撤销了域名注册⼈使⽤域名的权利、域名注册⼈与申请⼈之间的授权已终⽌或域名注册⼈未续订域名）；

8. UniTrust 了解到通配符证书被⽤于验证欺诈误导性的⼦域名；

9. UniTrust 了解到证书中包含的信息发⽣重⼤变动；

10. UniTrust 了解到证书未按照 BR 或 UniTrust 的 CP/CPS 发布；

11. UniTrust 了解到证书中包含的信息不正确或具有误导性；

12. UniTrust ⽆论因任何原因停⽌运营，并且未安排其他的 CA 为订⼾提供撤销⽀持服务；

13. UniTrust 根据 BR 签发证书的权利到期、撤销或终⽌，并且未安排继续维护 CRL/OCSP 服务；

14. UniTrust 的 CP/CPS 要求撤销；

15. UniTrust ⾃⾏判断订⼾继续使⽤证书会对 UniTrust 的信誉和信任状态遭受损害；

16. 证书的技术标准或格式给应⽤程序供应商或依赖⽅带来了不可接受的⻛险；

17. UniTrust 了解到证书被⽤于对恶意软件或包含可疑代码的软件进⾏签名；

18. 如果订⼾要求重新签发证书，则 UniTrust 可以撤销之前签发的证书；

19. 法律法规规定的其他情况。

密钥⽣成服务

UniTrust 建议订户尽可能⾃⾏使⽤可信赖的系统⽣成密钥对并进⾏备份。如果订户使⽤ UniTrust 的密钥⽣成服务，那么 UniTrust 将使⽤可信赖的系统⽣成密钥对，⽣成的密钥对密钥长度 RSA 算法不会⼩于 2048 位、ECC 算法不会⼩于 256 位。 UniTrust 不会为公开可信的 SSL/TLS 或 EV SSL/TLS 证书提供密钥⽣成服务。

适⽤于代码签名或 EV 代码签名的时间戳服务

UniTrust 提供免费的符合规定的适⽤于代码签名的时间戳服务，UniTrust 建议订户在为代码进⾏签名时添加时间戳签名。

适⽤于 PDF 签名的时间戳服务（AATL）

UniTrust 提供收费的符合规定的适⽤于 PDF ⽂档签名的时间戳服务，PDF 签名证书的订户可以合理的使⽤该服务，但 UniTrust

保留暂停服务的权利。

四. 订⼾的义务

信息的准确性

订户应承诺并保证在申请证书以及在提供签发该证书所需的相关信息时都要向 UniTrust 提供准确、完整、可靠且⽆误导性的信息。因故意或过失未向 UniTrust 提供真实、完整和准确的信息，导致 UniTrust 签发证书错误，从⽽造成相关各⽅损失的，由订户承担相应责任。

订户应声明并确认拥有证书中的电⼦邮箱地址、主题备⽤名称⾥所列的域名或 IP 地址的控制权，如果订户不再控制电⼦邮箱地址、域名或 IP 地址，则订户应及时通知 UniTrust。

私钥保护

订户应采取⼀切合理且必要的措施，以确保能始终控制、不泄漏、妥善保管和通过授权才允许使⽤证书中公钥相对应的私钥（以及任何相关激活数据或设备，如：密码或 Token）。如订户保管不善导致数字证书遭盗⽤、冒⽤、伪造或者篡改，订户应当⾃

⾏承担相应责任。

私钥的重⽤

订户不应使⽤将要或已经⽤于⾮代码签名证书中的公钥申请公开可信的代码签名或 EV 代码签名证书。

防⽌滥⽤

订户应采取适当的⽹络或其他安全控制措施以防⽌私钥被滥⽤，如果存在未经授权访问私钥的情况，则 UniTrust 可以直接撤

销该证书⽽⽆需事先通知。

证书的接受

在申请⼈或申请⼈代表审核并验证证书内容的准确性之前，订户不得使⽤证书。在收到证书后的 30 天内未对证书内容提出异

议，则视为该证书已被接受。

证书的使⽤

证书中公钥相对应的私钥应仅限于订户本⾝访问和使⽤，订户应对使⽤证书的⾏为及其后果负责。所有使⽤证书在⽹上交易和

⽹上作业中的活动均视为订户所为，因此⽽产⽣的相应后果应当由订户⾃⾏承担。

证书不得转让、转借或转⽤。因转让、转借或转⽤⽽产⽣的相关后果应当由订户⾃⾏承担。

在任何情况下，证书都不得⽤于⽹络钓鱼攻击、欺诈或对恶意软件进⾏签名等⾮法活动及犯罪活动。订户只允许在证书中主题备⽤名称⾥所列的域名或 IP 地址可以访问的服务器上安装 SSL/TLS 或 EV SSL/TLS 证书。订户不应有意使⽤证书对包含可疑代码的软件进⾏签名。如果使⽤证书对 PDF ⽂档进⾏签名，⽤户应保留 PDF ⽂档签名时的审批记录。

对于公开可信的 EV 代码签名证书，订户还应接受以下附加义务：

1. 仅对符合最新版 EVCS Guidelines 要求的代码进⾏签名；

2. 仅限所授权公司的业务。

报告和撤销

以下情况订户应⽴即停⽌使⽤与证书中公钥相对应的私钥，并向 UniTrust 要求撤销证书：

1. 订⼾的私钥出现可能或事实上的滥⽤、泄漏、盗⽤、遗失等任何可能导致订⼾对私钥丧失控制权的情况；

2. 证书中的任何信息不准确或不正确；

3. 如果订⼾证书是公开可信的代码签名或 EV 代码签名证书，并有证据表明该证书被⽤于对恶意软件或可疑代码进⾏签名；

4. 如果订⼾证书是公开可信的 EV 代码签名证书，并有证据表明该证书被⽤于对包含严重漏洞的代码进⾏签名。

证书使⽤的终⽌

订户应在证书过期或撤销后⽴即停⽌使⽤与证书中公钥相对应的私钥。

响应能⼒

订户应在 48 ⼩时内向 UniTrust 回应关于私钥泄露或证书滥⽤的情况说明。

承认和接受

如果订户违反本协议或使⽤条款，或 UniTrust 发现证书被⽤于⾮法活动、犯罪活动（如：钓鱼⽹站攻击、欺诈、发布恶意软件或为恶意软件进⾏签名），那么 UniTrust 有权⽴即撤销该证书。

信息共享

对于公开可信的代码签名或 EV 代码签名证书，UniTrust 可以在以下情况下将申请⼈的公开信息、订户证书、已签名的应⽤程序和相关情况分享给其他 CA 机构、⾏业组织和 CA/浏览器论坛：

1. 证书或申请⼈被确认为可疑代码的来源；

2. ⽆法验证申请证书的权利；

3. 证书被撤销的原因并⾮订⼾主动请求（如：私钥泄露、为恶意软件签名等）。

符合⾏业标准

UniTrust 可以在必要的时候修订本协议以遵守 BR、Guidelines、MRCS 或 EVCS Guidelines 的任何变动。本协议修订后的版

本将在⽹站上公布 30 天后⽣效，订户随时可以通过访问 xxxxx://xxx.xxxxx.xxx/xxxxxxxxxx 获取最新版本的订户协议。如果不同意修订，那么订户可以随时终⽌本协议，并要求 UniTrust 从协议终⽌之⽇起⾄证书服务到期⽇⽌按⽐例退款。如果在订户协议修订⽣效后继续使⽤ UniTrust 提供的证书或相应服务，那么表⽰订户同意接受新的订户协议并受其约束。

费⽤的⽀付

订⼾有义务根据 UniTrust 公布的价格或者 UniTrust 与之签署的协议中指明的价格向 UniTrust ⽀付证书及其相关服务费⽤。

五. 信息发布

订户同意 UniTrust 使⽤以下⽅法公开披露申请证书时提供的信息：

1. 信息嵌⼊证书中公布；

2. 在证书透明度（Certificate Transparency）⽇志中公布证书。

六. 期限和终⽌

本协议⾃证书服务到期⽇起⾃动终⽌。以下情况本协议将提前终⽌：

1. 双⽅协商⼀致同意提前终⽌；

2. 订⼾未能履⾏本协议中的义务，并且订⼾在收到 UniTrust 通知后的 30 天内未能进⾏有效纠正。

本协议终⽌后，本协议第⼆条授予订户的权利将被终⽌，UniTrust 可以根据证书撤销程序撤销订户证书，订户应履⾏ #证书使

⽤的终⽌ 义务停⽌使⽤证书。本协议的终⽌不影响本协议第四、五、六、七、⼋、九、⼗⼀条的有效性，上述条款将继续有效以允许必要的义务得到充分执⾏。

七. 免责声明

除 CPS 声明的内容外，本协议相关的证书服务均以实际服务为准。SHECA 及其分⽀机构、授权⽅不就证书服务的完整⽆误、内容安全及其他任何损失做任何明⽰、暗⽰、法定或其他形式的担保或声明。SHECA 及其分⽀机构、授权⽅仅承担法律规定的

义务，拒绝承认任何其他担保，包含适销、品质、特定⽤途适⽤的默认担保，⽆侵权声明，保密权，及商业管理或交易习惯衍

⽣的担保。

⼋. 责任限制

SHECA 及 SHECA 分公司或授权⽅均不就任何间接、附带、特殊、后果性或惩罚性损害（包括但不限于利润、商誉、使⽤或数

据损害）向您承担责任，即使⼀⽅已被告知该等损害发⽣的可能性，且即使该等损害已被预见到。此外，SHECA 及 SHECA 分公司或授权⽅也不会就与下述内容有关的赔偿、补偿、损失负责：

1. 您⽆法使⽤证书，该情况可能因下述原因导致；

a) 本协议终⽌或暂停或证书仍然处于批准程序或被撤销；

b) SHECA 停⽌运营本协议部分或全部服务；

c) 因任何原因（包括停电、系统故障或其他中断）导致的任何证书服务全部或部分的关闭。

2. 因购买替换性商品或服务产⽣的费⽤；

3. 你所产⽣的与本协议相关的因使⽤ UniTrust 证书服务或拥有相关权限⽽发⽣的其他投资、⽀出或义务；

4. 任何未经授权访问、更改、删除、销毁、损坏、丢失或未能存储您的任何内容或其他数据。

任何情况下，SHECA 及 SHECA 分公司或授权⽅与本协议及其约定下证书有关的总计责任应低于您在证书签发期间为证书⽀付的⾦额。

为避免争议，尽管有前述约定，就本协议约定下签发的任何增强型证书，SHECA 及 SHECA 分公司或授权⽅的总计责任将被限制为每张增强型证书 20000 元⼈⺠币。

九. 知识产权

x协议任何⼀⽅，均不能通过签署和履⾏本协议获得对⽅的任何知识产权（包括但不限于商标、标识、专利、著作权、技术秘密、数据等）；除⾮拥有知识产权的⼀⽅以书⾯⽅式授予了使⽤该等知识产权的许可，否则另外⼀⽅也⽆权使⽤该等知识产权。

订⼾不得基于本协议以任何⽅式、主张、理由寻求 SHECA 就其提供的全部软件、程序、⽂档、系统、数据的任何知识产权。

在 SHECA 提供服务过程中存在、产⽣、包含任何知识产权均受到法律保护，未经 SHECA 的书⾯授权许可，任何⼈不得基于该等知识产权以任何形式予以使⽤、创作衍⽣品或将其商业化。

⼗. 协议完整

以下政策及其更新的版本通过引⽤纳⼊本协议：

⚫ UniTrust 证书认证业务规则；

⚫ UniTrust EV 证书认证业务规则；

⚫ 发⾏和管理公开可信证书的基线要求；

⚫ 发⾏和管理 EV 证书准则；

⚫ 发⾏和管理公开可信的代码签名证书的基础要求；

⚫ 发⾏和管理 EV 代码签名证书准则。

⼗⼀. 法律适⽤、管辖与其他

x协议之订⽴、⽣效、解释、修订、补充、终⽌、执⾏与争议解决均适⽤中华⼈⺠共和国⼤陆地区法律。因本协议产⽣的争议，

⾸先应友好协商解决。协商不成时，任何⼀⽅均可向 UniTrust 住所地有管辖权的⼈⺠法院提起诉讼。

本协议任⼀条款被视为废⽌、⽆效或不可执⾏，该条应视为可分的且并不影响本协议其余条款的有效性及可执⾏性。

本协议的最终版本以中⽂撰写。 如果本协议被翻译成其他任意⼀种语⾔并且中⽂版本和翻译版本之间存在冲突，则以中⽂版本为准。（正⽂完）