Лекция 9. Типы списков аннулированных сертификатов и схемы аннулирования
Лекция 9. Типы списков аннулированных сертификатов и схемы аннулирования
Описываются основные типы списков аннулированных сертификатов, обсуждаются особенности разных схем аннулирования сертификатов, рассматриваются механизмы онлайновых запросов для поиска информации об аннулировании, дается представление о деревьях аннулирования сертификатов, выполняется сравнительный анализ разных схем аннулирования сертификатов.
Полные списки САС
Большинство удостоверяющих центров выпускают свои собственные списки САС, то есть одновременно являются издателями и сертификатов, и списков САС. Список, который охватывает всю совокупность сертификатов, выпускаемых данным УЦ и содержит всю наиболее свежую информацию об аннулировании, называют полным САС . Поддержка полного списка - наиболее простой способ обработки сертификатов. Его легко реализовать, однако поддержка полных списков САС порождает три серьезных проблемы:
1 проблема масштабируемости. Поскольку информация об аннулировании каждого сертификата должна поддерживаться в течение всего периода его действия, в некоторых доменах, особенно больших, может произойти чрезмерное разрастание списков САС, что существенно затруднит работу с ними, и самостоятельный поиск многими пользователями информации об аннулировании станет неэффективным;
2 проблема своевременности получения информации из списков САС. Очевидно, что с увеличением размера САС валидация сертификатов будет занимать больше времени, и это безусловно отразится на скорости доставки информации о статусе сертификатов;
3 проблема избыточной частоты генерации списков и обращения к ним. Если, например, политика применения сертификатов требует, чтобы аннулирование сертификатов из-за компрометации ключа выполнялось в течение дня, то очередной полный САС должен выпускаться каждый день. Соответствующая информация в поле сертификата Next Update вынудит пользователей сертификата получать новый полный список каждый день.
Полные списки САС целесообразно использовать лишь в доменах некоторых удостоверяющих центров с относительно небольшим количеством конечных субъектов.
Терминология, используемая в списках САС для описания информации о конечных субъектах и удостоверяющих центрах, была обновлена в стандарте X.509 версии 2000 года [78]. В частности, списки САС, которые содержат информацию о сертификатах только конечных субъектов, теперь называются списками аннулированных сертификатов открытых ключей конечных субъектов (САС КС) . Такие списки назывались просто списками САС в более ранних версиях стандарта X.509 (1997 года и ранее). Списки САС, которые содержат информацию о сертификатах только удостоверяющих центров, теперь называются списками аннулированных сертификатов удостоверяющих центров (САС УЦ) . Такие списки назывались списками аннулирования центров в более ранних версиях стандарта X.509 (1997 года и ранее).
Списки САС УЦ идентифицируются при помощи дополнений Issuing Distribution Point и/или CRL Scope. Списки САС УЦ выпускаются данным УЦ для аннулирования сертификатов открытых ключей других удостоверяющих центров. Издателем САС УЦ обычно бывает либо головной УЦ (то есть тот, который отвечает за аннулирование сертификатов любых подчиненных удостоверяющих центров), либо выпускающий УЦ, если он аннулирует кросс-сертификат, выпущенный им для другого УЦ. Наряду с этим возможна поддержка косвенных списков САС УЦ.
Когда проверяется путь сертификации, каждому УЦ, который заверил один или более сертификатов этого пути, должен быть доступен валидный САС УЦ (это не относится к самоподписанным сертификатам). Вообще говоря, случаи аннулирования сертификатов удостоверяющих центров являются скорее исключением, чем правилом. Обычно САС УЦ либо отсутствует, либо бывает относительно небольшим, поэтому поиск в нем информации об аннулировании сертификата конкретного УЦ требует минимальных усилий.
Списки САС КС идентифицируются при помощи дополнений Issuing Distribution Point и/или CRL Scope. Отдельный САС КС должен содержать всю информацию об аннулировании сертификатов конечных субъектов домена данного УЦ или может быть разбит на несколько списков разными способами, которые обсуждаются ниже.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Типы, характеризуемые значениями, ссылочные типы и оператор присваивания
Типы, характеризуемые значениями, ссылочные типы и оператор присваивания Теперь изучите следующий метод Main() и рассмотрите его вывод, показанный на рис. 3.12.static void Main(string[] args) { Console.WriteLine("*** Типы, характеризуемые значением / Ссылочные типы ***"); Console.WriteLine(-› Создание p1"); MyPoint
Типы, характеризуемые значениями и содержащие ссылочные типы
Типы, характеризуемые значениями и содержащие ссылочные типы Теперь, когда вы чувствуете разницу между типами, характеризуемыми значением, и ссылочными типами, давайте рассмотрим более сложный пример. Предположим, что имеется следующий ссылочный тип (класс),
Типы, характеризуемые значениями, и ссылочные типы: заключительные замечания
Типы, характеризуемые значениями, и ссылочные типы: заключительные замечания Чтобы завершить обсуждение данной темы, изучите информацию табл. 3.8, в которой приводится краткая сводка основных отличий между типами, характеризуемыми значением, и ссылочными типами.Таблица
Пример 24-3. Комбинирование "ИЛИ-списков" и "И-списков"
Пример 24-3. Комбинирование "ИЛИ-списков" и "И-списков" #!/bin/bash# delete.sh, утилита удаления файлов.# Порядок использования: delete имя_файлаE_BADARGS=65if [ -z "$1" ]then echo "Порядок использования: `basename $0` имя_файла" exit $E_BADARGS # Если не задано имя файла.else file=$1 # Запомнить имя файла.fi[ ! -f "$file" ]
Схемы
Схемы Параметры рабочей среды хранятся в шести схемах:• User Preference Schemes (Пользовательские схемы) – пользовательские настройки, относящиеся к следующим областям рабочей среды:• Dialog Boxes and Palettes (Диалоговые окна и палитры);• Selection and Element Information (Выделенные объекты и сведения об
Лекция 6. Абстрактные типы данных (АТД)
Лекция 6. Абстрактные типы данных (АТД) Чтобы объекты играли лидирующую роль в архитектуре ПО, нужно их адекватно описывать. В этой лекции показывается, как это делать. Если вам не терпится окунуться в глубины объектной технологии и подробно изучить множественное
Лекция 7. Классификация сертификатов и управление ими
Лекция 7. Классификация сертификатов и управление ими Приводится классификация сертификатов открытых ключей, дается краткая характеристика классов и видов сертификатов, подробно рассматривается содержание полей сертификата каждого вида, обсуждается использование
Лекция 8. Формат списков аннулированных сертификатов
Лекция 8. Формат списков аннулированных сертификатов Описываются способы проверки статуса сертификата, дается краткая характеристика механизмам периодической публикации информации об аннулированных сертификатах, вводится определение списка аннулированных
Списки аннулированных сертификатов
Списки аннулированных сертификатов УЦ выпускает сертификат только после проверки той информации, которая включается в содержание сертификата. Если информация неверна или сертификат утратил валидность, УЦ должен его аннулировать. Существует множество причин, по
Формат списка аннулированных сертификатов
Формат списка аннулированных сертификатов Формат списка аннулированных сертификатов определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документах PKIX [167]. Существуют две различные версии САС, первая версия описывалась в первых спецификациях
Деревья аннулирования сертификатов
Деревья аннулирования сертификатов Деревья аннулирования сертификатов, ДАС (Certificate Revocation Trees - CRTs) - это технология аннулирования, разработанная американской компанией Valicert. Деревья ДАС базируются на хэш-деревьях Merkle, каждое дерево позволяет отобразить всю известную
Другие режимы аннулирования
Другие режимы аннулирования Бывают обстоятельства, когда прямое распространение информации об аннулировании доверяющей стороне бывает невозможным или нежелательным. Существуют, по крайней мере, два случая. Первый случай касается краткосрочных сертификатов, период
Сравнительная характеристика разных схем аннулирования
Сравнительная характеристика разных схем аннулирования Пока не накоплено достаточно информации об эффективности функционирования крупномасштабных PKI, можно сделать лишь некоторые предположения по поводу характеристик масштабируемости, скорости обработки и
Лекция 10. Основные понятия и типы архитектуры PKI
Лекция 10. Основные понятия и типы архитектуры PKI Рассматриваются такие понятия архитектуры PKI, как путь сертификации, пункты доверия PKI, доверенный ключ. Описываются простая, иерархическая, сетевая и гибридная архитектура PKI, обсуждаются способы построения пути
Выявление в пути сертификации аннулированных сертификатов
Выявление в пути сертификации аннулированных сертификатов В процессе валидации пути сертификации проверяется, не был ли аннулирован издателем хотя бы один сертификат из цепочки сертификатов [167]. С этой целью часто используются списки аннулированных сертификатов (см.