Читаем Инфраструктуры открытых ключей полностью

Кросс-сертификация - это механизм связывания вместе удостоверяющих центров, ранее не имевших связей друг с другом, таким образом, что становятся возможными защищенные коммуникации между соответствующими сообществами субъектов. Фактически механизм кросс-сертификации аналогичен механизму обычной сертификации, за исключением того, что и субъект, и издатель кросс-сертификата являются удостоверяющими центрами, в то время как субъектом обычного сертификата является конечный субъект [121].

Отличия внутридоменной и междоменной сертификации зафиксированы в документе RFC 2510 [150]. Процесс называется внутридоменной кросс-сертификацией, если два удостоверяющих центра принадлежат одному и тому же домену (например, в иерархии удостоверяющих центров корпоративной PKI, где вышестоящий УЦ сертифицирует УЦ, находящийся на уровень ниже). Процесс называется междоменной кросс-сертификацией, если два удостоверяющих центра принадлежат разным доменам (например, когда УЦ одной компании сертифицирует УЦ другой компании).

Кросс-сертификация может выполняться в одном или двух направлениях. Односторонняя кросс-сертификация происходит тогда, когда УЦ₁ выпускает кросс-сертификат для УЦ₂ без одновременного выпуска УЦ₂ сертификата для УЦ₁. Изданный кросс-сертификат является единственным. Односторонняя кросс-сертификация характерна для иерархической архитектуры. Альтернативой является двусторонняя кросс-сертификация, когда два удостоверяющих центра выпускают кросс-сертификаты друг для друга, - в результате издаются два кросс-сертификата. Этот вариант выбирают организации, желающие обеспечить защищенные коммуникации со своими партнерами.

В соответствии с терминологией рекомендаций X.509 1997 года [77], с точки зрения УЦ₁, кросс-сертификат, изданный для него (то есть такой, в котором УЦ₁ является субъектом, а некоторый другой УЦ - издателем), получил название прямого кросс-сертификата ; сертификат, изданный им самим ( УЦ₁ ), был назван обратным кросс-сертификатом. Эти термины были признаны не всеми специалистами и экспертами, поэтому в новой версии рекомендаций X.509 2000 года их назвали по-другому [78]. Термин "прямой" был изменен на "изданный для данного УЦ", а термин "обратный" - на "изданный данным УЦ".

Если в качестве хранилища сертификатов используется каталог X.500, соответствующие кросс-сертификаты ("изданный для данного УЦ" и "изданный данным УЦ") могут храниться в структуре пары сертификатов в точке входа в каталог каждого из релевантных удостоверяющих центров [44]. Эта структура может применяться при построении пути сертификации (см. рис. 5.5).

Механизм кросс-сертификации может быть использован для расширения доверия между сообществами разных доверяющих сторон. В частности, кросс-сертификация между двумя удостоверяющими центрами - один из старых способов определения данным УЦ прав другого УЦ издавать сертификаты в некотором пространстве имен. Это фундаментальный механизм расширения доверия в модели распределенного доверия, но он равно применим и к web-модели, а также к модели доверия, сконцентрированного вокруг пользователя (где каждый пользователь действует как свой собственный УЦ).

Рис. 5.5.  Кросс-сертификация между УЦ1 и УЦ2

Пример 5.4. Предположим, что пользователь А был сертифицирован УЦ₁ и владеет доверенной копией открытого ключа УЦ₁, а пользователь В был сертифицирован УЦ₂ и владеет доверенной копией открытого ключа УЦ₂. Изначально пользователь А может доверять только тем субъектам, сертификаты которых были заверены УЦ₁, потому что пользователь А способен верифицировать только эти сертификаты. Пользователь А не может верифицировать сертификат пользователя В, так как не владеет доверенной копией открытого ключа УЦ₂ ; аналогично - пользователь В не имеет возможности верифицировать сертификат пользователя А. Однако после кросс-сертификации удостоверяющих центров УЦ₁ и УЦ₂ доверие пользователя А может быть распространено на сообщество субъектов УЦ₂, включая пользователя В. Теперь пользователь А может верифицировать сертификат УЦ₂, используя свою доверенную копию открытого ключа УЦ₁, а затем проверить сертификат пользователя В при помощи своей копии открытого ключа УЦ₂.