Kurul Kararları
Kurul kararı, düzenleyici otoritenin (dijital imza alanında Bilgi Teknolojileri ve İletişim Kurumu) belirli teknik ve idari konularda aldığı bağlayıcı karardır. Bu kararlar; nitelikli elektronik sertifikaların iptal listesi (SİL) ve çevrimiçi durum sorgulama (OCSP) profillerini, güvenli elektronik imza kullanım profillerini, elektronik mühür profillerini ve sertifika ile zaman damgası ücretlerini belirler. Aşağıda bu kararların özetlerini ve resmî kaynaklarını bulabilirsiniz.
Nitelikli Elektronik Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri
Güncel (konsolide)2007/DK-77/207
ESHS'lerin yayımladığı nitelikli elektronik sertifikaların, sertifika iptal listelerinin (SİL) ve OCSP istek/cevap mesajlarının birbiriyle uyumlu ve birlikte çalışabilir olması için ortak teknik profili belirler.
Neden önemli: Farklı ESHS'lerin ürettiği sertifikaların aynı imza yazılımlarıyla sorunsuz doğrulanabilmesini sağlar; Türkiye'deki elektronik imza ekosisteminin teknik birlikte çalışabilirliğinin temelini oluşturur.
- Sertifika Profili: nitelikli elektronik sertifikanın zorunlu alanları ve eklentileri (ETSI TS 101 862 esaslı)
- SİL (Sertifika İptal Listesi) Profili: zorunlu SİL alanları ve eklentileri
- OCSP (Çevrimiçi Sertifika Durum Protokolü) istek ve cevap mesajları profili
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.
Elektronik İmza Kullanım Profilleri Rehberi
Güncel (konsolide)2012/DK-15/299
Güvenli elektronik imzaların uzun dönemli kullanımda işlev ve güvenilirliğini kaybetmemesi için P1, P2, P3 ve P4 olmak üzere dört imza profili tanımlar.
Neden önemli: İmza sahibinin ve doğrulayıcının, imzanın kullanım amacına (anlık, kısa ömürlü, uzun ömürlü) göre doğru imza formatını ve doğrulama verisini seçmesini sağlar; aksi halde imza zaman içinde teknik olarak doğrulanamaz hale gelebilir.
- P1 (Anlık İmza): zaman damgasız, düşük boyutlu, sadece anlık doğrulama için
- P2 (Kısa Ömürlü İmza) ve P3 (Uzun Ömürlü, SİL Kontrollü İmza): zaman damgalı, SİL tabanlı doğrulama
- P4 (Uzun Ömürlü, OCSP/ÇİSDuP Kontrollü İmza): en yüksek güvenilirlikli, doğrulama verisini kendi içinde barındıran profil
- İmza formatları: CAdES (ETSI TS 101 733), XAdES (ETSI TS 101 903), PAdES (ETSI TS 102 778)
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.
Kamu Kurum ve Kuruluşları Arasında Elektronik Ortamdaki Belge Paylaşımında Kullanılan Kurumsal Şifreleme ve Elektronik Mühür Sertifikalarına İlişkin Usul ve Esaslar
Güncel (konsolide)2019/DK-BTD/160
Kamu kurum ve kuruluşları arasındaki elektronik ortamdaki belge paylaşımında kullanılacak kurumsal şifreleme ve elektronik mühür sertifikalarının Kamu SM tarafından başvurusu, üretimi, kullanımı, iptali ve yenilenmesine ilişkin usul ve esasları belirler.
Neden önemli: Kamu kurumları arası e-yazışmada kullanılan elektronik mühür sertifikası, belgenin hangi kurumdan çıktığını ve içeriğinin değişmediğini kanıtlar; kişinin irade beyanı olan elektronik imzadan farklıdır ve güvenli elektronik imza oluşturmak amacıyla kullanılamaz.
- Şifreleme sertifikası: kamu kurumları arası belge paylaşımında gizliliği sağlamak amacıyla kullanılan, en fazla 1 yıl geçerli sertifika (m.5-6)
- Elektronik mühür sertifikası: kurumsal kimliği ve belge bütünlüğünü kanıtlayan, 2007/DK-77/207 sayılı Kurul Kararı profiline uygun üretilen sertifika (m.7-8)
- Sertifikaların yenilenmesi ve iptal edilmesi usulü (m.9-10)
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.
Nitelikli Elektronik Mühür Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri Rehberi
Güncel (konsolide)2023/İK-BTD/43
ESHS'lerin yayımladığı nitelikli elektronik mühür sertifikalarının, sertifika iptal listelerinin (SİL) ve OCSP istek/cevap mesajlarının birbiriyle uyumlu ve birlikte çalışabilir olması için ortak teknik profili belirler.
Neden önemli: Nitelikli elektronik mühür sertifikasının güvenli elektronik imza oluşturmak amacıyla kullanılamayacağını sertifikanın kendi içine (kullanım kısıtı ibaresi olarak) yazdırarak, mührün tüzel kişi kimlik ve bütünlük kanıtı olduğunu, kişisel imzanın yerine geçmediğini teknik olarak da güvence altına alır.
- Sertifika Profili: nitelikli elektronik mühür sertifikasının zorunlu alanları ve eklentileri (ETSI TS 101 862 / ETSI EN 319 412-5 esaslı)
- Kullanım kısıtı ibaresi: sertifikanın güvenli elektronik imza oluşturmak amacıyla kullanılamayacağının sertifikaya yazılması zorunluluğu
- SİL (Sertifika İptal Listesi) ve OCSP (Çevrimiçi Sertifika Durum Protokolü) istek/cevap mesajları profili
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.
Nitelikli Elektronik Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri (Sürüm 2.0)
Değişiklik2007/DK-77/207 sayılı Kurul Kararıyla onaylanan Nitelikli Elektronik Sertifika, SİL ve OCSP İstek/Cevap Mesajları Profilleri rehberinin Temmuz 2012 tarihli Sürüm 2.0 güncellemesi; sertifikaya yazılacak ibarelere yeni bir 'Kullanım Kısıtı' eklentisi eklemiştir.
Neden önemli: ESHS'lerin ürettiği nitelikli elektronik sertifikaların içeriğini günceller; sertifikanın kullanım kısıtının açıkça sertifika içinde belirtilmesini sağlayarak doğrulayıcıların sertifikanın hangi amaçla kullanılabileceğini teknik olarak da tespit edebilmesini mümkün kılar.
- Sürüm 2.0 (Temmuz 2012): 2007/DK-77/207 sayılı Kurul Kararıyla onaylanan rehberin güncellenmiş hali
- 4.2.8.4 Kullanım Kısıtı: sertifikanın kullanım amacını sınırlayan yeni nitelikli sertifika ibaresi eklentisi
- Sertifika, SİL ve OCSP profillerinin geri kalan esasları 2007/DK-77/207 ile aynı kalmıştır
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.
Güvenli Elektronik İmza Oluşturma ve Doğrulama Uygulamaları ile Güvenli Elektronik İmza Formatlarına Dair Usul ve Esaslara İlişkin Kurul Kararında Değişiklik Yapılması
Değişiklik2012/DK-15/299
2006/DK-77/353 sayılı Kurul Kararının 2 nci maddesini değiştirerek güvenli elektronik imza formatlarına ETSI TS 102 778 (PAdES) standardını ve Elektronik İmza Kullanım Profilleri Rehberi'ndeki P1-P4 profillerine uygunluk tavsiyesini ekler.
Neden önemli: PDF belgelerin imzalanmasını (PAdES) ve imzaların uzun dönemli doğrulanabilirliğini resmî olarak tanıyan düzenlemedir; ESHS'lerin uygulamalarını P1-P4 imza profillerine uyarlaması için altı aylık geçiş süresi öngörür.
- 2006/DK-77/353 sayılı kararın 2 nci maddesi değiştirilmiştir: güvenli elektronik imzaların ETSI TS 101 733, ETSI TS 101 903 veya ETSI TS 102 778 (PAdES) standardına uygun oluşturulması
- Elektronik İmza Kullanım Profilleri Rehberi'ndeki P1, P2, P3, P4 imza profillerine uygunluk tavsiyesi eklendi
- ESHS'lere karar tarihinden itibaren altı (6) ay uyum süresi tanındı
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.
Güvenli Elektronik İmza Oluşturma ve Doğrulama Uygulamaları ile Güvenli Elektronik İmza Formatlarına Dair Usul ve Esaslar
Güncel (konsolide)2006/DK-77/353
Güvenli elektronik imza oluşturma uygulamalarının ve imza formatlarının uyması gereken temel teknik standartları (CWA 14170 ve CAdES/XAdES/PAdES imza formatları) belirler.
Neden önemli: 5070 sayılı Kanunun ve uygulama yönetmeliğinin çizdiği hukuki çerçeveyi somut imza formatı standartlarına dönüştürür; ESHS'lerin ve imza yazılımlarının hangi teknik formatları desteklemesi gerektiğini belirler.
- m.1: güvenli elektronik imza ile imzalanacak belgenin görüntülenmesini sağlayan imza oluşturma uygulamalarının CWA 14170 (Elektronik İmza Oluşturma Uygulamaları için Güvenlik İhtiyaçları) standardına uyumu
- m.2 (2012/DK-15/299 ile değişik): güvenli elektronik imzaların ETSI TS 101 733 (CAdES), ETSI TS 101 903 (XAdES) veya ETSI TS 102 778 (PAdES) standardına ve Elektronik İmza Kullanım Profilleri Rehberi'ndeki P1-P4 profillerine uygun oluşturulması tavsiyesi
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.
Nitelikli Elektronik Sertifika ve Zaman Damgası Ücretlerinin Belirlenmesi
Güncel (konsolide)2006/DK-77/760
Nitelikli elektronik sertifika, zaman damgası ve ilgili hizmet ücretlerinin alt ve üst sınırının Kurum tarafından belirlenmesi konusunun 2007 yılı sonrasına bırakılmasına karar verir.
Neden önemli: Kurumun bu alanda ücret tavanı/tabanı belirleme yetkisini o tarihte kullanmadığını, kararın alındığı dönemde ESHS'lerin sertifika ve zaman damgası ücretlerini serbestçe belirlediğini gösterir.
- Nitelikli elektronik sertifika, zaman damgası ve ilgili hizmet ücretlerinin alt ve üst sınırının belirlenmesi konusu 2007 yılı sonrasına ertelendi
- Kararın Kurum internet sayfasında yayımlanarak kamuoyuna duyurulması kararlaştırıldı
Resmî ve güncel metin için mevzuat.gov.tr esas alınır.