Инфраструктура Открытого Ключа (часть 5)

Расширения CRL

Расширения, определенные ANSI X9, ISO/IEC и ITU-T для X.509 v2 CRLs предоставляют методы для связывания дополнительных атрибутов с CRLs. Формат X.509 v2 CRL также позволяет определять частные расширения. Каждое расширение в CRL может быть обозначено как критичное или некритичное. Проверка действительности CRL не должна выполняться, если встречается критичное расширение, которое неизвестно как обрабатывать. Однако нераспознанные некритичные расширения могут игнорироваться. Рассмотрим наиболее часто используемые расширения. Следует заметить, что не рекомендуется устанавливать критичные расширения в CRLs, которые могут использоваться общими приложениями, так как невозможность обработать критичное расширение может привести к тому, что приложение не сможет получить полный список отмененных сертификатов.

Идентификатор ключа уполномоченного органа

Расширение идентификатора ключа уполномоченного органа предоставляет способы идентификации открытого ключа, соответствующего закрытому ключу, который использовался для подписывания CRL. Идентификация может быть основана либо на идентификаторе ключа (идентификаторе ключа субъекта в сертификате CRL подписывающего), либо на имени выпускающего и серийном номере. Данное расширение особенно полезно, когда выпускающий имеет более одного ключа подписывания или была выполнена замена сертификата для подписывания CRL.

Альтернативное имя выпускающего

Расширение альтернативных имен выпускающего позволяет задействовать дополнительные идентификаторы, которые связаны с выпускающим CRL. Альтернативными именами могут быть e-mail адрес, имя DNS, IP-адрес и URI. Могут быть включены несколько вариантов имен и несколько форм имени. Всякий раз, когда такие идентификаторы используются, должно применяться расширение для альтернативного имени; однако имя DNS может быть представлено в поле выпускающего посредством атрибута domainComponent.

Расширение issuerAltName не должно быть помечено как критичное.

Номер CRL

Номер CRL является некритичным расширением CRL, которое представляет собой монотонно возрастающую последовательность номеров для данной области CRL и данного выпускающего CRL. Данное расширение позволяет пользователям без труда определить, когда один CRL заменяет другой. Номера CRL также обеспечивают идентификацию полных CRLs и дельта CRLs.

Если выпускающий CRL создает дельта CRLs в дополнение к полным CRLs для данной области, полные CRLs и дельта CRLs должны иметь одну последовательность чисел. Если дельта CRL и полный CRL, которые охватывают одну и ту же область, выпущены в одно и то же время, они должны иметь одни и те же номера CRL и предоставлять одну и ту же информацию об отмене. Это означает, что комбинация дельта CRL и выпущенного полного CRL должна предоставлять ту же самую информацию об отмене, что и одновременно выпущенный полный CRL.

Если выпускающий CRL создает два CRLs (два полных CRLs, два дельта CRLs или полный CRL и дельта CRL ) для некоторой области в различное время, два CRLs не должны иметь один и тот же номер CRL.

Индикатор дельта CRL

Индикатор дельта CRL является критичным расширением, которое определяет CRL как дельта CRL. Дельта CRLs содержат изменения информации отмены, появившиеся после предыдущего распространения, а не всю информацию, которая содержится в полном CRL. Использование дельта CRL может существенно понизить в некоторых окружениях сетевую нагрузку и сократить время обработки. Дельта CRL обычно меньше, чем CRLs, изменения которых они отражают, поэтому приложения, которые получают дельта CRLs, меньше загружают сеть, чем приложения, которые получают соответствующие полные CRLs. Приложения, которые хранят информацию об отмене в формате, отличном от структуры CRL, могут добавлять новую информацию об отмене в локальную базу данных без повторной обработки информации.

Расширение индикатора дельта CRL содержит единственное значение типа BaseCRLNumber. Номер CRL определяет CRL, полный для данной области, который использовался в качестве исходного при создании данного дельта CRL. Дельта CRL содержит все изменения в статусе сертификата для той же самой области. Комбинация дельта CRL плюс упоминаемый базовый CRL эквивалентна полному CRL для рассматриваемой области в момент опубликования дельта CRL.

Когда конформный выпускающий CRL создает дельта CRL, дельта CRL должен содержать критичное расширение индикатора дельта CRL.

Когда дельта CRL выпущен, он должен охватывать то же самое множество причин и то же множество сертификатов, которое охватывает базовый CRL, на который он ссылается. Выпускающий CRL должен использовать тот же самый закрытый ключ для подписывания дельта CRL и соответствующего полного CRL.

Полный CRL и дельта CRL могут быть скомбинированы, если выполнены следующие четыре условия:

1. Полный CRL и дельта CRL имеют одного и того же выпускающего.
2. Полный CRL и дельта CRL имеют одну и ту же область. Два CRLs имеют одну и ту же область, если выполнено одно из следующих условий:
   1. Расширение issuingDistributionPoint опущено и в полном CRL, и в дельта CRL.
   2. Расширение issuingDistributionPoint присутствует и в полном CRL, и в дельта CRL, и значения каждого из этих полей одинаковы в обоих CRLs.
3. Номер CRL полного CRL больше или равен BaseCRLNumber, указанному в дельта CRL. Это означает, что полный CRL включает (как минимум) всю информацию об отмене, которая содержится в упоминаемом базовом CRL.
4. Номер CRL полного CRL меньше, чем номер CRL дельта CRL. Это означает, что в последовательной нумерации дельта CRL следует за полным CRL.

Считается, что статус сертификата изменяется, если он отменяется, приостанавливается, восстанавливается после приостановки или изменяется причина его отмены.

Если сертификат был приостановлен в любом CRL, выпущенном после базового, но перед данным дельта CRL, а затем был восстановлен после приостановки, он должен быть указан в дельта CRL с причиной отмены removeFromCRL.

Выпускающий CRL может дополнительно указать сертификат в дельта CRL с кодом причины removeFromCRL, если время notAfter, указанное в сертификате, предшествует времени thisUpdate, указанному в дельта CRL, и сертификат был перечислен в упоминаемом базовом CRL или в любом CRL, выпущенном после базового, но перед данным дельта CRL.

Если упоминание об отмене сертификата впервые появилось в дельта CRL, то, возможно, что период действительности сертификата истечет до выпуска следующего дельта CRL. В этом случае упоминание об отмене должно быть включено во все последующие дельта CRL до тех пор, пока упоминание об отмене не будет включено, по крайней мере, в один выпущенный полный CRL.

Приложение, которое поддерживает дельта CRLs, должно иметь возможность создавать текущий полный CRL посредством комбинации ранее выпущенного полного CRL и самого последнего дельта CRL. Приложение, которое поддерживает дельта CRLs, также может иметь возможность создавать текущий полный CRL комбинацией предыдущего локально созданного полного CRL и текущего CRL. Считается, что дельта CRL является текущим, если текущее время находится между временем, содержащимся в полях thisUpdate и nextUpdate.