Ольга Полянская - Инфраструктуры открытых ключей

*необязательное поле key Identifier , которое содержит значение дополнения Subject Key Identifier из сертификата издателя САС ; его рекомендуется включать;

*необязательное поле authority Cert Issuer , в котором указывается основное или альтернативное имя издателя САС ; в нем могут указываться несколько имен. Если это поле присутствует, то должно быть заполнено и следующее поле authority Cert Serial Number ;

*необязательное поле authority Cert Serial Number , которое задает серийный номер сертификата издателя САС . Если это поле присутствует, то должно быть заполнено и предыдущее поле authority Cert Issuer .

Дополнение Authority Key Identifier помогает пользователям выбрать правильный открытый ключ для верификации подписи на данном САС в том случае, когда издатель САС имеет несколько ключей подписи и соответственно несколько сертификатов. При смене ключа подписи издателя САС происходит некоторое перекрытие периодов действия двух ключей, в этот интервал времени валидными считаются оба сертификата с одним и тем же именем издателя и разными открытыми ключами подписи. В соответствии с рекомендациями X.509 это дополнение всегда помечается как некритичное, его использование регламентируется документом RFC 3280 [167].

Дополнение Issuer Alternative Name позволяет указывать альтернативные имена издателя САС : адрес электронной почты, DNS-имя (имя Интернет-хоста), IP-адрес и унифицированный идентификатор ресурса URI (обычно уникальный адрес ресурса WWW URL). Включение этих имен не обязательно. Формально это дополнение может быть как критичным, так и некритичным. Но поскольку документ RFC 3280 требует, чтобы поле с именем издателя САС не было пустым, необходимо, чтобы это дополнение было помечено как некритичное.

Дополнение CRL Number выполняет функцию счетчика и содержит упорядоченную по возрастанию последовательность номеров всех списков САС , выпущенных данным издателем. Дополнение позволяет пользователям определять, когда происходит смена одного списка данного издателя другим, более свежим САС . В соответствии с рекомендациями X.509 это дополнение всегда помечается как некритичное. Документ RFC 3280 требует от издателей включения этого дополнения во все списки САС .

Дополнение CRL Scope формально стандартизовано версией 2000 года рекомендаций X.509 и обеспечивает гибкость классификации информации списков САС по разным признакам. Списки САС могут быть разбиты на множества различными способами: по типам сертификатов, кодам причин аннулирования , серийным номерам, идентификаторам ключей субъектов и поддеревьям имен. Это дополнение всегда помечается как критичное.

Дополнение Status Referrals формально стандартизовано версией 2000 года рекомендаций X.509 и обеспечивает две основные функции: во-первых, дает возможность динамически разбивать информацию об аннулировании (поскольку включает в свой синтаксис дополнение CRL Scope ); во-вторых, позволяет удостоверяющим центрам публиковать перечень текущих списков САС . Перечень помогает доверяющей стороне анализировать, владеет ли она последней информацией об аннулировании, и избегать лишней (без необходимости) пересылки списков САС . В этом дополнении также может публиковаться информация нового САС , прежде чем произойдет обновление более старого, но не просроченного списка. Это дополнение всегда помечается как критичное.

Дополнение CRL Stream Identifier формально стандартизовано версией 2000 года рекомендаций X.509 и используется для идентификации контекста, внутри которого номер САС является уникальным. Если каждому пункту распространения САС присваивается уникальный идентификатор, то его комбинация с номером САС позволяет, независимо от типа списка, уникально идентифицировать каждый САС , выпущенный данным УЦ. Это дополнение всегда помечается как некритичное.

Дополнение Ordered List формально стандартизовано версией 2000 года рекомендаций X.509 и характеризует упорядоченность САС по возрастанию серийных номеров или дат аннулирования. Если дополнение отсутствует, то порядок по умолчанию считается заданным локальной политикой УЦ. Это дополнение всегда помечается как некритичное.

Дополнение Delta Information формально стандартизовано версией 2000 года рекомендаций X.509 и указывает местонахождение дельта-списка САС и время выпуска следующего дельта-списка (последний атрибут необязателен). Это дополнение всегда помечается как некритичное.

Дополнение Issuing Distribution Point используется вместе с дополнением сертификата CRL Distribution Point и отражает названия пунктов распространения САС и типы сертификатов, содержащихся в списке (например, сертификаты только конечных пользователей, сертификаты только удостоверяющих центров и/или сертификаты, аннулированные по определенной причине ). Когда разрешено, дополнение указывает, что САС является косвенным списком. Один издатель САС может поддерживать несколько пунктов распространения САС . В качестве указателя пункта распространения САС могут использоваться доменные имена, IP-адреса или имена файлов на web-сервере.

Коды причины, относящиеся к пункту распространения САС , задаются в поле Only Some Reasons . Если это поле не используется, то пункт распространения САС содержит информацию об аннулировании сертификатов по всем причинам . Издатели САС могут использовать пункты распространения САС , чтобы различать списки, сформированные по причине компрометации ключа и по другим причинам. В этом случае один пункт распространения предназначается для информирования об аннулировании сертификатов с кодами причины аннулирования "компрометация ключа" или "компрометация УЦ", а другой пункт распространения - для случаев аннулирования по другим причинам.

При хранении САС в каталоге должна быть указана точка входа в каталог, соответствующая данному пункту распространения (она не всегда совпадает с точкой входа в каталог УЦ). Дополнение Issuing Distribution Point всегда помечается как критичное. Признак критичности гарантирует, что в процессе валидации вместо полного списка не будет случайно использован неполный САС . Если при валидации сертификата это дополнение не распознается, то дельта-список САС должен быть отвергнут.

Дополнение Delta CRL Indicator идентифицирует САС как дельта-список. Дельта-список САСфиксирует изменения с момента выпуска предыдущего САС. Вообще говоря, САС должен содержать все аннулированные сертификаты - такой список известен как базовый САС . Однако УЦ может формировать и дельта- списки аннулированных сертификатов . Базовый и дельта-список вместе содержат всю информацию об аннулировании сертификатов данного домена, известную на момент выпуска дельта-списка . Области охвата дельта-списка и базового списка должны совпадать.