Протоколы безопасного сетевого взаимодействия

       

Индикатор дельта CRL


Индикатор дельта CRL является критичным расширением, которое определяет CRL как дельта CRL. Дельта CRLs содержат изменения информации отмены, появившиеся после предыдущего распространения, а не всю информацию, которая содержится в полном CRL. Использование дельта CRL может существенно понизить в некоторых окружениях сетевую нагрузку и сократить время обработки. Дельта CRL обычно меньше, чем CRLs, изменения которых они отражают, поэтому приложения, которые получают дельта CRLs, меньше загружают сеть, чем приложения, которые получают соответствующие полные CRLs. Приложения, которые хранят информацию об отмене в формате, отличном от структуры CRL, могут добавлять новую информацию об отмене в локальную базу данных без повторной обработки информации.

Расширение индикатора дельта CRL содержит единственное значение типа BaseCRLNumber. Номер CRL определяет CRL, полный для данной области, который использовался в качестве исходного при создании данного дельта CRL. Дельта CRL содержит все изменения в статусе сертификата для той же самой области. Комбинация дельта CRL плюс упоминаемый базовый CRL эквивалентна полному CRL для рассматриваемой области в момент опубликования дельта CRL.

Когда конформный выпускающий CRL создает дельта CRL, дельта CRL должен содержать критичное расширение индикатора дельта CRL.

Когда дельта CRL выпущен, он должен охватывать то же самое множество причин и то же множество сертификатов, которое охватывает базовый CRL, на который он ссылается. Выпускающий CRL должен использовать тот же самый закрытый ключ для подписывания дельта CRL и соответствующего полного CRL.

Полный CRL и дельта CRL могут быть скомбинированы, если выполнены следующие четыре условия:

  1. Полный CRL и дельта CRL имеют одного и того же выпускающего.
  2. Полный CRL и дельта CRL имеют одну и ту же область. Два CRLs имеют одну и ту же область, если выполнено одно из следующих условий:
    1. Расширение issuingDistributionPoint опущено и в полном CRL, и в дельта CRL.
    2. Расширение issuingDistributionPoint присутствует и в полном CRL, и в дельта CRL, и значения каждого из этих полей одинаковы в обоих CRLs.
  3. Номер CRL полного CRL больше или равен BaseCRLNumber, указанному в дельта CRL.


    Это означает, что полный CRL включает (как минимум) всю информацию об отмене, которая содержится в упоминаемом базовом CRL.
  4. Номер CRL полного CRL меньше, чем номер CRL дельта CRL. Это означает, что в последовательной нумерации дельта CRL следует за полным CRL.


Считается, что статус сертификата изменяется, если он отменяется, приостанавливается, восстанавливается после приостановки или изменяется причина его отмены.

Если сертификат был приостановлен в любом CRL, выпущенном после базового, но перед данным дельта CRL, а затем был восстановлен после приостановки, он должен быть указан в дельта CRL с причиной отмены removeFromCRL.

Выпускающий CRL может дополнительно указать сертификат в дельта CRL с кодом причины removeFromCRL, если время notAfter, указанное в сертификате, предшествует времени thisUpdate, указанному в дельта CRL, и сертификат был перечислен в упоминаемом базовом CRL или в любом CRL, выпущенном после базового, но перед данным дельта CRL.

Если упоминание об отмене сертификата впервые появилось в дельта CRL, то, возможно, что период действительности сертификата истечет до выпуска следующего дельта CRL. В этом случае упоминание об отмене должно быть включено во все последующие дельта CRL до тех пор, пока упоминание об отмене не будет включено, по крайней мере, в один выпущенный полный CRL.

Приложение, которое поддерживает дельта CRLs, должно иметь возможность создавать текущий полный CRL посредством комбинации ранее выпущенного полного CRL и самого последнего дельта CRL. Приложение, которое поддерживает дельта CRLs, также может иметь возможность создавать текущий полный CRL комбинацией предыдущего локально созданного полного CRL и текущего CRL. Считается, что дельта CRL является текущим, если текущее время находится между временем, содержащимся в полях thisUpdate и nextUpdate.


Содержание раздела