Выбор способа публикации САС

We use cookies. Read the Privacy and Cookie Policy

Выбор способа публикации САС

Выбирая способ публикации САС, организация должна оценить преимущества и недостатки каждого из трех возможных способов (публикация с опросом наличия изменений, принудительная рассылка изменений и онлайновая верификация), характер PKI-транзакций и степень операционного риска.

Публикация САС с опросом наличия изменений ("pull") выполняется в определенные запланированные моменты времени и может привести к ситуации, когда аннулированный сертификат некоторое время не включается в САС, а пользователи продолжают полагаться на него. Данный способ пригоден в большинстве случаев, но подвергает серьезному риску клиентов, которые используют критически важные для ведения бизнеса приложения, даже если планируемые обновления выполняются достаточно часто.

Способ принудительной рассылки изменений ("push") САС подходит для PKI небольших организаций, использующих ограниченное количество PKI-приложений, и не годится для PKI, обслуживающих большое сообщество пользователей и многочисленные приложения. Распространение списка этим способом требует решения проблем распознавания приложений, которым рассылается информация об обновлении САС, синхронизации выпуска списка, а также отложенного получения указанной информации приложениями, если последние были недоступны в момент рассылки.

Важным преимуществом способа онлайновой верификации является своевременность доставки (в реальном времени) информации об аннулировании сертификатов. Этот способ предпочтителен для обслуживания приложений, требующих обязательной проверки сертификатов до выполнения транзакции. Способ онлайновой верификации устанавливает жесткие требования постоянной защищенности OCSP-сервера и заверения всех запросов к УЦ цифровыми подписями, что может создать "узкие места" при обработке запросов.

Проблемы распространения САС могут быть решены путем комбинирования разных способов публикации САС: онлайновой верификации для сертификатов, которые используются в приложениях, критичных для ведения бизнеса (например, в электронной коммерции), и "pull"-способа - для сертификатов других типов.