Национальный исследовательский ядерный университет «МИФИ»
Опубликован: 15.11.2006 | Доступ: свободный | Студентов: 2230 / 430 | Оценка: 4.33 / 3.99 | Длительность: 29:21:00
ISBN: 978-5-9556-0081-9
Лекция 9:

Типы списков аннулированных сертификатов и схемы аннулирования

< Лекция 8 || Лекция 9: 12345 || Лекция 10 >
Аннотация: Описываются основные типы списков аннулированных сертификатов, обсуждаются особенности разных схем аннулирования сертификатов, рассматриваются механизмы онлайновых запросов для поиска информации об аннулировании, дается представление о деревьях аннулирования сертификатов, выполняется сравнительный анализ разных схем аннулирования сертификатов.
Ключевые слова: полные списки САС, поддержка, масштабируемость, своевременность получения информации, статус сертификата, пользователь сертификата, списки аннулированных сертификатов открытых ключей конечных субъектов, списки аннулированных сертификатов открытых ключей удостоверяющих центров, CRL, аннулирование, кросс-сертификат, путь сертификации, самоподписанные сертификаты, аннулирование сертификатов, поиск, ПО, синтаксис, сервер, место, дерево информации каталога, файл, связь, период действия, переадресующие списки САС, разбиение, PKI, рабочая группа, IETF, концепция динамического разбиения САС, Дополнение, очередь, список аннулированных сертификатов, атрибут, ранг, сертификаты пользователей, причины аннулирования, дельта-списки САС, Приращение, список, компонент, косвенные дельта-списки САС, домен, информация, кэширование, валидация, политика применения сертификатов, идентификатор, стоимость, indirect, значение, поле, деревья аннулированных сертификатов, дерево, выражение, множества, хэш-код, целостность, механизмы, онлайновый протокол статуса сертификатов, онлайновый протокол статуса сертификата, online, certificate, status, protocol, RFC, доверенный субъект, OCSP-респондер, OCSP, издатель сертификата, сертификат открытого ключа, простой протокол валидации сертификатов, закрытая среда, OID, оптимизация

Полные списки САС

Большинство удостоверяющих центров выпускают свои собственные списки САС, то есть одновременно являются издателями и сертификатов, и списков САС. Список, который охватывает всю совокупность сертификатов, выпускаемых данным УЦ и содержит всю наиболее свежую информацию об аннулировании, называют полным САС . Поддержка полного списка - наиболее простой способ обработки сертификатов. Его легко реализовать, однако поддержка полных списков САС порождает три серьезных проблемы:

  1. проблема масштабируемости. Поскольку информация об аннулировании каждого сертификата должна поддерживаться в течение всего периода его действия, в некоторых доменах, особенно больших, может произойти чрезмерное разрастание списков САС, что существенно затруднит работу с ними, и самостоятельный поиск многими пользователями информации об аннулировании станет неэффективным;
  2. проблема своевременности получения информации из списков САС. Очевидно, что с увеличением размера САС валидация сертификатов будет занимать больше времени, и это безусловно отразится на скорости доставки информации о статусе сертификатов;
  3. проблема избыточной частоты генерации списков и обращения к ним. Если, например, политика применения сертификатов требует, чтобы аннулирование сертификатов из-за компрометации ключа выполнялось в течение дня, то очередной полный САС должен выпускаться каждый день. Соответствующая информация в поле сертификата Next Update вынудит пользователей сертификата получать новый полный список каждый день.

Полные списки САС целесообразно использовать лишь в доменах некоторых удостоверяющих центров с относительно небольшим количеством конечных субъектов.

Терминология, используемая в списках САС для описания информации о конечных субъектах и удостоверяющих центрах, была обновлена в стандарте X.509 версии 2000 года [78]. В частности, списки САС, которые содержат информацию о сертификатах только конечных субъектов, теперь называются списками аннулированных сертификатов открытых ключей конечных субъектов (САС КС) . Такие списки назывались просто списками САС в более ранних версиях стандарта X.509 (1997 года и ранее). Списки САС, которые содержат информацию о сертификатах только удостоверяющих центров, теперь называются списками аннулированных сертификатов удостоверяющих центров (САС УЦ) . Такие списки назывались списками аннулирования центров в более ранних версиях стандарта X.509 (1997 года и ранее).

Списки САС УЦ идентифицируются при помощи дополнений Issuing Distribution Point и/или CRL Scope. Списки САС УЦ выпускаются данным УЦ для аннулирования сертификатов открытых ключей других удостоверяющих центров. Издателем САС УЦ обычно бывает либо головной УЦ (то есть тот, который отвечает за аннулирование сертификатов любых подчиненных удостоверяющих центров), либо выпускающий УЦ, если он аннулирует кросс-сертификат, выпущенный им для другого УЦ. Наряду с этим возможна поддержка косвенных списков САС УЦ.

Когда проверяется путь сертификации, каждому УЦ, который заверил один или более сертификатов этого пути, должен быть доступен валидный САС УЦ (это не относится к самоподписанным сертификатам). Вообще говоря, случаи аннулирования сертификатов удостоверяющих центров являются скорее исключением, чем правилом. Обычно САС УЦ либо отсутствует, либо бывает относительно небольшим, поэтому поиск в нем информации об аннулировании сертификата конкретного УЦ требует минимальных усилий.

Списки САС КС идентифицируются при помощи дополнений Issuing Distribution Point и/или CRL Scope. Отдельный САС КС должен содержать всю информацию об аннулировании сертификатов конечных субъектов домена данного УЦ или может быть разбит на несколько списков разными способами, которые обсуждаются ниже.

Пункты распространения САС

Пункты распространения САС, иногда называемые частичными списками САС, позволяют размещать информацию об аннулировании сертификатов домена отдельного УЦ в нескольких списках САС [45]. Пункты распространения САС, по сравнению с полными списками САС, имеют два важных преимущества:

  1. позволяют разбивать всю информацию об аннулировании на более управляемые части, не допуская чрезмерного разрастания списков САС;
  2. не требуют дополнительного информирования об их местонахождении, поскольку в сертификатах обычно содержатся указатели на пункты распространения САС и доверяющим сторонам не приходится выяснять, где находится информация о статусе проверяемых сертификатов.

Синтаксис дополнения CRL Distribution Point позволяет идентифицировать местонахождение соответствующей части САС: это может быть определенный сервер, заданный при помощи DNS-имени или IP-адреса, или определенное место на сервере (например, дерево информации каталога общедоступного репозитория или файл на web-сервере). Рис. 9.1 иллюстрирует понятие пункта распространения САС [44].

Пункт распространения САС

Рис. 9.1. Пункт распространения САС

Итак, пункты распространения САС, по сравнению с полными списками, предлагают более масштабируемое решение. При условии продуманного разбиения полных списков на части и размещения частичных списков в кэш-памяти уменьшается нагрузка на сетевые ресурсы. Однако существенным недостатком частичных списков САС является необходимость статично связывать каждый сертификат с информацией о конкретном пункте распространения САС, то есть фиксировать эту связь на весь период действия сертификата. Для устранения этого недостатка был предложен механизм переадресующих списков САС.

< Лекция 8 || Лекция 9: 12345 || Лекция 10 >
Жанар Каппасова
Жанар Каппасова

было бы удобнее если после вопроса было написано сколько вариантов ответа требуется указать. к примеру один вариант или несколько. прошла тест оказалось что нужно несколько а я ответила по одному на каждый вопрос. как то не удобно. 

Владислав Лагвинович
Владислав Лагвинович

Прошел 5 или 6 тестов по курсу Инфраструктура открытых ключей, а сейчас курс в состоянии не готов. Что случилось?

Сергей Халяпин
Сергей Халяпин
Россия, Москва
Алексей Фоминых
Алексей Фоминых
Россия