RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

3.1. Х.509-сертификат третьей версии

Пользователи открытого ключа требуют гарантий того, что соответствующий закрытый ключ принадлежит истинному удалённому субъекту (физическому лицу или системе), чтобы в дальнейшем можно было использовать этот открытый ключ в криптографических процедурах шифрования или проверки электронной цифровой подписи (ЭЦП). Такие гарантии предоставляются путём использования СЕРТ открытых ключей (СЕРТ|ОК), т.е. структурами данных (определённого формата), которые «привязывают» значения открытых ключей к субъектам. Привязка подтверждается (защищается) с помощью ЭЦП, проставляемой доверенным УЦ на каждом СЕРТ|ОК. УЦ может обосновывать это утверждение техническими средствами (так называемая защита собственности посредством протокола, реализующего запросно/ответный способ информационного обмена), путём предъявления закрытого ключа или обосновывать утверждение с помощью самого субъекта (владельца СЕРТ|ОК). СЕРТ|ОК имеет ограниченный срок действия, который указывается в подписанном содержании самого сертификата. Так как подпись сертификата и время его действия могут быть проверены клиентом, использующим этот СЕРТ|ОК, независимо, то сертификаты могут распространяться по не надёжным соединениям (линиям/каналам связи) и через серверы прикладных систем, а также могут храниться в незащищённых базах данных (хранилищах) прикладных систем, использующих сертификаты.

Рекомендация ITU-T X.509 (бывший CCITT X.509) или стандарт ISO/IEC 9594-8, которые были впервые опубликованы в 1988 году в качестве составной части совокупности Рекомендаций ITU-T X.500, описывающих Службу единого каталога, устанавливают стандартный формат СЕРТ. В 1988 году это была первая версия (v1) формата. В 1993 году Рекомендации ITU-T X.500 прошли соответствующую ревизию, в результате которой балы принята вторая версия формата (v2), включавшего два дополнительных поля.

Ряд Интернет-стандартов (Request for Comment — RFC), опубликованных в 1993 году, описывали частную усовершенствованную службу электронной Интернет-почты (Internet Privacy Enhanced Mail — PEM), включающую PKI-инфраструктуру, которая базировалась на сертификатах Рекомендации ITU-T X.509v1 (RFC-1422). Опыт, накопленный при развёртывании системы в соответствие с RFC-1422, ясно дал понять, что форматы сертификатов первой и второй версий во многих отношениях были неприемлемы. Очень важным оказалось то, что для доставки данных, которые были связаны с проектными особенностями PEM-системы, необходимы дополнительные поля, а последующие годы внедрения и эксплуатации этой системы подтвердили такую необходимость. В ответ на эти возникшие требования, ISO/IEC, ITU-T и ANSI X9 усовершенствовали и приняли новую третью версию формата сертификата. Третья версия формата сертификата (v3) расширяет формат второй версии путём введения дополнительных субполей в поле «Расширения». Соответствующие типы субполей в поле «Расширения» могли быть описаны в стандартах или могли быть определены и зарегистрированы любой организацией или сообществом. В июне 1996 года стандартизация основной третьей версии формата сертификата была завершена.

ISO/IEC, ITU-T и ANSI X9 также доработали стандартное поле «Расширения» с целью его использования в третьей версии этого поля. Новые субполя в поле «Расширения» могут доставлять различную информацию, например, дополнительную идентификационную информацию субъекта, атрибутную информацию о ключе, информацию о политике сертификации и ограничения на МС.

Тем не менее, стандартное поле «Расширения», установленное стандартами ISO/IEC, ITU-T и ANSI X9, обеспечивает широкий диапазон его применения в интересах различных прикладных систем. С целью обеспечения функциональной совместимости прикладных систем, использующих X.509v3-сертификаты, в рамках Интернет-сети, необходимо определить структуру субполей поля «Расширения» в таких X.509v3-сертификатах, которая будет приемлема для её использования в Интернет-сети. Одной из целей данного стандарта дать описание структуры и формата СЕРТ и СОС для их использования в WWW, системе электронной почты и прикладных системах, основанных на IPsec-архитектуре. Прикладные системы, предъявляющие дополнительные требования, могут быть построены на основе данного описания или могут его заменить.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.