RFC: 5280
Оригинал: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
Предыдущие версии: RFC 2459, RFC 3280, RFC 4325, RFC 4630
Категория: Предложенный стандарт
Дата публикации: (с дополнениями из RFC 6818, Январь 2013)
Авторы: , , , , , ,
Перевод: Мельников Дмитрий Анатольевич

3.3. Аннулирование (отзыв)

Когда СЕРТ издан, то предполагается, что он будет использоваться в течение всего своего периода действия. Однако могут произойти различные события, в результате которых СЕРТ станет недействительным ещё до окончания своего периода действия. К таким событиям относятся изменение имени, изменение взаимосвязи между субъектом и УЦ (например, работник завершает трудовую деятельность в организации), компрометация или подозрение на компрометацию соответствующего закрытого ключа. В случае возникновении таких событий УЦ необходимо аннулировать СЕРТ.

Рекомендация ITU-T X.509v3 описывает всего один метод отзыва СЕРТ. Этот метод предписывает каждому УЦ периодически издавать структурированный информационный объект, подписанный этим УЦ, который называется списком отозванных (аннулированных) сертификатов (СОС, certificate revocation list — CRL). СОС представляет собой список, содержащий метку времени и идентифицирующий отозванные сертификаты, и который подписывается УЦ или издателем СОС, а также помещается в открытый репозитарий для публичного доступа. Каждый отозванный и помещённый в СОС СЕРТ идентифицируется с помощью своего последовательного номера. Когда прикладная система, предусматривающая применение СЕРТ, использует последний (например, для проверки ЭЦП удалённого пользователя), то такая система не только проверяет подпись и срок действия СЕРТ, но также запрашивает соответствующий последний (suitably recent) СОС и проверяет, последовательный номер СЕРТ не содержится в СОС. Смысл понятия «соответствующий последний» может варьироваться в соответствие с локальной политикой сертификации, тем не менее, как правило, это означает самый «свежий» изданный СОС. СОС обновляется на регулярной основе (например, каждый час, ежедневно или еженедельно). В СОС добавляется запись, как часть последующего обновления, сразу после уведомления об аннулировании. Запись никогда не должна удаляться из СОС до тех пор, пока она не появиться в одном из регулярно публикуемых СОС, изданном после окончания срока действия аннулированного сертификата.

Преимуществом этого метода отзыва является то, что СОС могут распространяться с помощью точно таких же средств, как и сами СЕРТ, а именно по не надёжным соединениям (линиям/каналам связи) и через серверы прикладных систем.

При использовании не надёжных соединений (линий/каналов связи) и серверов прикладных систем, для метода аннулирования на основе СОС существует одно ограничение, которое заключается в том, что регулярность (частота) аннулирования ограничивается периодом издания СОС. Например, если об аннулировании СЕРТ объявлено прямо сейчас, то прикладным системам, предусматривающим применение СЕРТ, не будет сообщено о таком факте аннулирования до тех пор, пока все изданные на настоящий момент СОС не будут в плановом порядке обновлены (а это может быть ежечасно, ежедневно или еженедельно, в зависимости от частоты переиздания СОС).

Как и в случае с форматом сертификата Рекомендации ITU-T X.509v3, с целью обеспечения функциональной совместимости внедряемых несколькими вендорами прикладных систем, необходимо описать формат СОС Рекомендации ITU-T X.509v2 при его использовании в Интернет-сети. Одной из целей этого документа является описание такого формата. Однако, данное описание не требует выпуска СОС. Форматы сообщений и протоколы, обеспечивающие интерактивное оповещение об аннулировании, определены в других стандартах в интересах глобальной PKI-инфраструктуры. Интерактивные методы оповещения об аннулировании могут быть приемлемы в некоторых прикладных сферах в качестве альтернативы СОС Рекомендации ITU-T X.509. Интерактивная проверка отзыва может существенно снизить время ожидания между сообщением об аннулировании и доведением информации до взаимодействующих сторон. Так как УЦ воспринимает сообщение об аннулировании как подлинное и действующее, любое обращение к интерактивной службе по проверке подлинности сертификата корректно воспримет все изменения, вызванные аннулированием. Тем не менее, такие методы обуславливают появление новых требований по обеспечению информационной безопасности. Т.е. средству проверки подлинности СЕРТ необходима надёжная интерактивная служба проверки подлинности, за исключением репозитария, последнему не надо быть доверенным.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.