Читаем Инфраструктуры открытых ключей полностью

|Полные списки САС | Заверенные цифровой подписью структуры данных, содержащие списки аннулированных сертификатов; определены стандартом X.509 | Критичны с точки зрения скорости обработки, масштабируемости и своевременности. Однако на основе X.509 существуют альтернативные формы для повышения производительности, гарантирования масштабируемости и улучшения своевременности |

|Списки САС удостоверяющих центров | Тип САС, который предназначен исключительно для информации об аннулировании, относящейся к удостоверяющим центрам; определен стандартом X.509 | На практике обычно разделяется информация об аннулировании сертификатов удостоверяющих центров и конечных субъектов |

|Списки САС конечных субъектов | Тип САС, который предназначен исключительно для информации об аннулировании относящейся к конечным субъектам; определен стандартом X.509 | На практике обычно разделяется информация об аннулировании сертификатов удостоверяющих центров и конечных субъектов |

|Пункты распространения САС | Используются для статичес-кого разбиения списков САС на части; определены стандартом X.509 | Позволяет статически разбивать информацию об аннулировании сертификатов на более управляемые части |

|Дельта-списки и косвенные списки САС | Используются для распространения небольших дельта-списков ; определены стандартом X.509 | Могут использоваться для существенного повышения скорости обработки и поддержки своевременности. Комбинируются с другими формами списков САС |

|Косвенные списки САС | Используются для объединения в одном списке информации об аннулировании от нескольких удостоверяющих центров; определены стандартом X.509 | Могут использоваться для повышения скорости обработки при условии, что объединение информации из нескольких источников не требует больших затрат, чем поиск информации в каждом отдельном источнике |

|Онлайновый протокол статуса сертификата - OCSP | Возможность онлайновых запросов используется для получения информации о статусе одного или нескольких сертификатов; определен в документе RFC 2560 | Несмотря на то, что протокол предназначен для ответов в режиме реального времени, "свежесть" предоставляемой информации зависит от ее источника |

|Переадресующие списки САС | Используются для динамического разбиения информации об аннулировании; определены в документе RFC 2560 | Относительно новая концепция, которая совершенствует схему пунктов распространения САС |

|Деревья аннулирования сертификатов CRT | Позволяют отображать информацию об аннулировании при помощи деревьев двоичных хэш-кодов; соответствующий метод разработан компанией Valicert | Могут стать одним из альтернативных способов, применяемых сторонними поставщиками услуг для представления информации об аннулировании |

|Другие способы | Используются, если доставка информации об аннулировании не требуется или реализуются по-другому | Альтернативные способы подходят, если авторизация всех транзакций выполняется общим центром |

Таблица 9.4.Схемы аннулирования сертификатов

Архитектура PKI описывает структуру отношений доверия между удостоверяющими центрами и другими субъектами инфраструктуры. По архитектуре PKI делятся на разные типы в зависимости от следующих характеристик:

* количества удостоверяющих центров, которые непосредственно доверяют друг другу;

* структуры отношений доверия между удостоверяющими центрами;

* способа добавления в инфраструктуру нового УЦ;

* сложности построения и проверки пути сертификации ;

* серьезности последствий компрометации удостоверяющих центров.