Ольга Полянская - Инфраструктуры открытых ключей

Дополнение Ordered List формально стандартизовано версией 2000 года рекомендаций X.509 и характеризует упорядоченность САС по возрастанию серийных номеров или дат аннулирования. Если дополнение отсутствует, то порядок по умолчанию считается заданным локальной политикой УЦ. Это дополнение всегда помечается как некритичное.

Дополнение Delta Information формально стандартизовано версией 2000 года рекомендаций X.509 и указывает местонахождение дельта-списка САС и время выпуска следующего дельта-списка (последний атрибут необязателен). Это дополнение всегда помечается как некритичное.

Дополнение Issuing Distribution Point используется вместе с дополнением сертификата CRL Distribution Point и отражает названия пунктов распространения САС и типы сертификатов, содержащихся в списке (например, сертификаты только конечных пользователей, сертификаты только удостоверяющих центров и/или сертификаты, аннулированные по определенной причине ). Когда разрешено, дополнение указывает, что САС является косвенным списком. Один издатель САС может поддерживать несколько пунктов распространения САС. В качестве указателя пункта распространения САС могут использоваться доменные имена, IP-адреса или имена файлов на web-сервере.

Коды причины, относящиеся к пункту распространения САС, задаются в поле Only Some Reasons. Если это поле не используется, то пункт распространения САС содержит информацию об аннулировании сертификатов по всем причинам. Издатели САС могут использовать пункты распространения САС, чтобы различать списки, сформированные по причине компрометации ключа и по другим причинам. В этом случае один пункт распространения предназначается для информирования об аннулировании сертификатов с кодами причины аннулирования "компрометация ключа" или "компрометация УЦ", а другой пункт распространения - для случаев аннулирования по другим причинам.

При хранении САС в каталоге должна быть указана точка входа в каталог, соответствующая данному пункту распространения (она не всегда совпадает с точкой входа в каталог УЦ). Дополнение Issuing Distribution Point всегда помечается как критичное. Признак критичности гарантирует, что в процессе валидации вместо полного списка не будет случайно использован неполный САС. Если при валидации сертификата это дополнение не распознается, то дельта-список САС должен быть отвергнут.

Дополнение Delta CRL Indicator идентифицирует САС как дельта-список. Дельта-список САС фиксирует изменения с момента выпуска предыдущего САС. Вообще говоря, САС должен содержать все аннулированные сертификаты - такой список известен как базовый САС. Однако УЦ может формировать и дельта- списки аннулированных сертификатов. Базовый и дельта-список вместе содержат всю информацию об аннулировании сертификатов данного домена, известную на момент выпуска дельта-списка. Области охвата дельта-списка и базового списка должны совпадать.

Дельта- списки аннулированных сертификатов значительно быстрее обрабатываются приложениями, которые хранят информацию об аннулировании сертификатов в формате, отличном от структуры САС. Это позволяет приложениям вносить в локальные базы данных информацию об изменении списка, не затрагивая данные первоначально загруженного основного САС. Пока не все приложения, использующие сертификаты, управляют дельта-списками САС, хотя рекомендуется, чтобы издатели САС поддерживали оба списка, причем дополнение CRL Number в обоих списках должно иметь одно и то же значение (это подтверждает, что в них содержится одинаковая информация об аннулировании) [70].

Пользователь сертификата при помощи дельта-списков может в любой момент сформировать полный САС для конкретного домена одним из следующих способов:

1 найти текущий дельта-список САС для данного домена и скомбинировать его с изданным ранее базовым САС ;

2 найти текущий дельта-список САС для данного домена и скомбинировать его с локально сконструированным САС, содержание которого эквивалентно изданному ранее базовому САС.

Содержание сформированного списка не зависит от способа формирования. Чтобы гарантировать, что этот САС является полным, необходимо сравнить номера базового САС и базового списка, на который ссылается дельта-список САС.

Дополнение Delta CRL Indicator всегда является критичным. Поскольку дельта-список не содержит полный перечень всех аннулированных сертификатов, срок действия которых не истек, признак критичности гарантирует, что в процессе валидации не будет случайно использован неполный САС вместо полного списка. Если при валидации сертификата это дополнение не распознается, то дельта-список САС должен быть отвергнут.

Дополнение Base Update формально стандартизовано версией 2000 года рекомендаций X.509 и используется в дельта-списках, которые содержат дополнение Delta CRL Indicator, для указания даты/времени обновления информации об аннулировании при помощи дельта-списка. Дополнение не указывается, если дельта-список САС содержит дополнение CRL Scope. Это дополнение всегда помечается как некритичное.

Дополнение Freshest CRL базового САС формально стандартизовано версией 2000 года рекомендаций X.509, содержит указатель на дельта-список, содержащий последнюю информацию об аннулированных сертификатах. Синтаксис этого дополнения совпадает с синтаксисом дополнения CRL Distribution Point. Документ RFC 3280 требует, чтобы область охвата дельта-списка совпадала с областью охвата САС, который содержит это дополнение. Дополнение Freshest CRL не включается в дельта-списки, поскольку не допускается, чтобы один дельта-список ссылался на другой дельта-список. В соответствии с рекомендациями X.509 это дополнение может быть как критичным, так и некритичным. Однако если оно помечено как критичное, то доверяющая сторона, прежде чем использовать сертификат, должна проверять последний САС. Для поддержки дельта-списков не требуется валидация сертификатов.

Дополнения точек входа в САС

Международный Союз по телекоммуникациям ввел несколько дополнений точек входа в САС X.509 v2 [78]. Они связывают с точками входа в САС некоторые дополнительные атрибуты. Каждое дополнение может быть помечено как критичное или некритичное. Валидация САС не может быть выполнена, если встречается нераспознанное критичное дополнение, однако некритичное дополнение может быть проигнорировано. Дополнения точек входа в САС приведены в табл. 8.3.

|Поле | Содержание |

|reasonCode

.

unspecified

keyCompromise

cACompromise

affiliationChanged

.

superseded

cessationOfOperation

certificateHold

removeFromCRL

| Код причины аннулирования (задается

перечисленными ниже значениями)

Неопределенная причина

Компрометация ключа конечного пользователя

Компрометация ключа УЦ

Изменение информации в сертификате в связи

со слиянием компаний

Замена сертификата

Прекращение работы

Приостановление действия сертификата

Удаление из САС

|

|holdInstructionCode | Код временного приостановления сертификата (идентификатор объекта OID) |

|certificateIssuer | Информация о пунктах распространения САС нескольких издателей для поддержки косвенных списков САС |

|invalidityDate | Дата утраты валидности сертификата |

Таблица 8.3.Дополнения точек входа в список аннулированных сертификатов X.509 v2

Дополнение Reason Code указывает причину аннулирования сертификатов. Издателем САС настоятельно рекомендуется включать в это дополнение значащие коды причин. В дополнении могут указываться следующие коды причин:

* 0 - неопределенная причина;

* 1 - компрометация ключа;

* 2 - компрометация УЦ;

* 3 - изменения в результате слияния компаний;