RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

Прикладная система, обслуживающая усечённые СОС, может формировать СОС, который будет являться заполняемым для конкретной области применения за счёт совмещения усечённого СОС для той же области применения, либо с изданным СОС, являющимся заполняемым для этой же области применения, либо с локально сформированным СОС, также являющимся заполняемым для этой же области применения.

Когда усечённый СОС совмещён с заполняемым СОС или с локально сформированным СОС, тогда итоговый локально сформированный СОС имеет номер, который указан в последовательности «CRLNumber» из усечённого СОС, используемого в данной конструкции. Кроме того, итоговый локально сформированный СОС содержит субполя «thisUpdate» и «nextUpdate», время в которых совпадает со значениями в аналогичных субполях усечённого СОС, используемого в данной конструкции. Также, локально сформированный СОС наследует последовательность «issuingDistributionPoint» из усечённого СОС.

Заполняемый и усечённый СОС могут быть совмещены только тогда, когда выполнены следующие четыре условия:

  • Заполняемый и усечённый СОС выпущены одним и тем же издателем.

  • Заполняемый и усечённый СОС имеют одну и ту же область применения. Два СОС имеют одну и ту же область применения, если выполняется одно из следующих двух условий:

    1. Последовательность «issuingDistributionPoint» отсутствует в обоих СОС (в заполняемом и усечённом).

    2. Последовательность «issuingDistributionPoint» представлена в обоих СОС (в заполняемом и усечённом), и значения в этих последовательностях совпадают.

  • Номер СОС заполняемого СОС равен или больше номера «BaseCRLNumber», указанного в усечённом СОС. Т.е., заполняемый СОС содержит (как минимум) все данные об отозванных сертификатах, которые содержаться в справочном базовом СОС.

  • Номер СОС заполняемого СОС меньше номера усечённого СОС. Т.е. усечённый СОС следует за заполняемым СОС в номерной последовательности.

Издатели СОС обязаны гарантировать, что сочетание усечённого СОС и любого другого соответствующего заполняемого СОС точно отражает текущее состояние отзыва сертификатов. Издатель СОС обязан включать в усечённый СОС (в рамках области его применения) запись о каждом сертификате, состояние которого изменилось с момента формирования справочного базового СОС, следующим образом:

  • Если сертификат отозван по причине, входящей в область применения СОС, то он указывается в этом усечённом СОС как аннулированный.

  • Если сертификат — действующий и был в списке справочного базового СОС или любого последующего СОС с указанием кода причины «certificateHold», а код причины «certificateHold» указан в усечённом СОС, то он указывается в этом усечённом СОС как аннулированный с кодом причины отзыва «removeFromCRL».

  • Если сертификат аннулирован и причина отзыва выходит за пределы области применения СОС, но в то же время, сертификат был указан в справочном базовом СОС или в любом последующем СОС с кодом причины, входящей в область применения этого СОС, то он указывается в этом усечённом СОС как аннулированный без кода причины отзыва.

  • Если сертификат аннулирован по причине, выходящей за пределы области применения СОС, и он не был указан, ни в справочном базовом СОС, ни в любом последующем СОС с кодом причины, входящей в область применения этого СОС, то он не включается в список этого усечённого СОС.

Состояние сертификата считается изменившимся если:

  • он аннулирован (по любой причине, указанной в «certificateHold»);
  • он изъят из СОС;
  • причина его аннулирования изменилась.
2007 - 2017 © Русские переводы RFC, IETF, ISOC.