Читаем Инфраструктуры открытых ключей полностью

Пункты распространения САС, иногда называемые частичными списками САС, позволяют размещать информацию об аннулировании сертификатов домена отдельного УЦ в нескольких списках САС[45]. Пункты распространения САС, по сравнению с полными списками САС, имеют два важных преимущества:

1 позволяют разбивать всю информацию об аннулировании на более управляемые части, не допуская чрезмерного разрастания списков САС;

2 не требуют дополнительного информирования об их местонахождении, поскольку в сертификатах обычно содержатся указатели на пункты распространения САС и доверяющим сторонам не приходится выяснять, где находится информация о статусе проверяемых сертификатов.

Синтаксис дополнения CRL Distribution Point позволяет идентифицировать местонахождение соответствующей части САС: это может быть определенный сервер, заданный при помощи DNS-имени или IP-адреса, или определенное место на сервере (например, дерево информации каталога общедоступного репозитория или файл на web-сервере). Рис. 9.1 иллюстрирует понятие пункта распространения САС [44].

Рис. 9.1.  Пункт распространения САС

Итак, пункты распространения САС, по сравнению с полными списками, предлагают более масштабируемое решение. При условии продуманного разбиения полных списков на части и размещения частичных списков в кэш-памяти уменьшается нагрузка на сетевые ресурсы. Однако существенным недостатком частичных списков САС является необходимость статично связывать каждый сертификат с информацией о конкретном пункте распространения САС, то есть фиксировать эту связь на весь период действия сертификата. Для устранения этого недостатка был предложен механизм переадресующих списков САС.

Статичное разбиение полных списков САС и задание постоянного пункта распространения САС в дополнении CRL Distribution Point каждого сертификата возможно только тогда, когда выпускающий сертификаты УЦ заранее знает, как следует разбивать информацию об аннулировании и не планирует с течением времени изменить способ разбиения. На практике целесообразно иметь более гибкий механизм разбиения полных списков САС, позволяющий изменять размеры частей списков и места их хранения (например, для оптимизации скорости обработки или потребностей PKI-сообщества) [45]. Стратегии разбиения выбираются на основе разных признаков ранжирования: по серийным номерам сертификатов, причинам аннулирования, типам сертификатов, поддеревьям имен или любым другим критериям, которые можно применить к информации САС.

Для реализации такого механизма рабочая группа IETF PKIX разработала концепцию динамического разбиения, которая была формально стандартизована в версии 2000 года рекомендаций X.509 [78], и ввела в профиль списков САС дополнения CRL Scope и Status Referrals. Дополнение Status Referrals позволяет переадресовать доверяющую сторону к фактическому местонахождению информации искомого САС, не изменяя в сертификатах дополнение CRL Distribution Point. Как показано на рис. 9.2, дополнение CRL Distribution Point указывает на промежуточный САС, который, в свою очередь, содержит дополнение Status Referral со ссылкой на искомый САС. Промежуточный САС называется переадресующим списком .

Рис. 9.2.  Переадресующий САС

Отметим, что при движении от переадресующего списка к искомому должны выполняться проверки согласованности, чтобы предотвратить попытки "спуфинга", то есть подмены САС. Переадресующий САС фактически содержит не список аннулированных сертификатов, а только указатели на искомые списки САС. Это позволяет частичным спискам САС изменяться во времени, не влияя на содержание существующих сертификатов. Даже если схема разбиения САС меняется, в сертификатах не приходится корректировать поля дополнения CRL Distribution Point.