Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Управление отзывом сертификатов

Майк Фратто

Развертывание корпоративной инфраструктуры открытых ключей (Public Key Infrastructure — PKI) и управление ею крайне важны для предприятий, использующих современные информационные технологии. Сама по себе PKI не представляет никакой ценности до тех пор, пока не будет увязана с приложениями и службами, способными воспользоваться ее функциональными возможностями. PKI необходима для выдачи цифровых сертификатов частным лицам и организациям, для управления сертификатами в течение срока их действия и публикации необходимой информации о них в справочниках. В этой статье мы рассмотрим вопросы управления отзывом сертификатов.

Информация об отзыве того или иного сертификата может публиковаться в списке отозванных сертификатов (Certificate Revocation List — CRL), который содержит перечень их серийных номеров и заверяется сертификационным центром (Certificate Authority — CA), в узлах CRDP (Certificate Revocation Distribution Point), содержащих фрагменты списков CRL, или оперативно выдаваться посредством протокола OCSP (Online Certificate Status Protocol) типа “клиент—сервер” в ответ на запрос, поступивший от аттестационного центра (Validation Authority — VA).

Некоторые аспекты управления отзывом сертификата не зависят от способа публикации. Фактически многие проблемы, связанные с отзывом, являются в большей степени организационными и почти не затрагивают технологию. Выбор того или иного метода отзыва часто определяется особенностями конкретного приложения. Тем не менее понимание сущности основ этих методов отзыва поможет вам найти оптимальное решение.

Содержание сертификата

Как минимум, в сертификате должна быть представлена информация, характер и объем которой определяются документом RFC 2459 (Internet X.509 Public Key Infrastructure Certificate and CRL Profile). Она может содержать и другие сведения, например почтовые адреса, установленные расходные лимиты или права доступа владельца сертификата. Короче говоря, в сертификате может содержаться любая информация, с которой способен работать сертификационный центр.

На выданный сертификат устанавливается срок действия. Например, он может иметь силу в течение 365 дней. Затем по истечении этого срока его владельцу выдается новый сертификат. Существует косвенная зависимость полезного срока действия от содержащейся в сертификате информации. Чем больше информации содержится в этом документе, тем меньше полезный срок его действия. Это связано с тем, что информация может изменяться, и владельцу придется выдать новый сертификат до того, как истечет срок действия старого. К тому же любая содержащаяся в сертификате информация становится общедоступной. Таким образом, здравый смысл подсказывает, что в сертификат нужно включать как можно меньше информации. Процедура отзыва сертификата есть неотъемлемая часть процесса сертификации. Существует множество причин для отзыва сертификата до истечения срока его действия. Например, его владелец сменил место работы либо утратил свой цифровой ключ, или, допустим, электронный магазин, работающий по протоколу SSL, закрывается.

Во всех этих случаях сертификат нужно отзывать досрочно, чтобы его нельзя было использовать случайно или с преступными намерениями.

Методы отзыва сертификата

Поддерживая широкий спектр приложений, CA предоставляют несколько методов отзыва сертификатов. При необходимости одни из них могут дополнять другие. Наиболее распространенным методом является использование списка CRL, хотя в последнее время все большее признание получает метод на основе протокола OCSP. Если ваше приложение поддерживает разные методы отзыва, лучше остановить свой выбор на OCSP, тогда приложению не придется обрабатывать длинные списки CRL, а информация об отозванных сертификатах станет более актуальной. CRL — это обычный список с номерами сертификатов, заверенный цифровой подписью CA. Каждому сертификату СА назначает уникальный серийный номер, который является его неотъемлемой частью и не может быть изменен. Когда приложение проверяет достоверность сертификата, оно пытается отыскать его серийный номер в списке CRL, подписанном соответствующим сертификационным центром. Однако получение этого списка представляет собой особую проблему. Некоторые приложения могут импортировать списки CRL в виде файлов, в частности через механизмы протоколов FTP или HTTP. Очевидно, что с точки зрения масштабирования процесс импортирования файлов далек от совершенства, поэтому обычно его используют в пилотных проектах или при отладке приложений. В идеале приложения должны запрашивать CRL у справочной службы сертификационного центра с помощью протокола LDAP. Заметьте, что клиентские приложения общего назначения, такие, как Navigator корпорации Netscape Communications, не могут ни запрашивать, ни даже загружать CRL. Фактически клиентские приложения вовсе не проверяют как-либо сертификат на предмет отзыва.

Несмотря на широкую поддержку, со списками CRL возникает две проблемы: они могут быть слишком длинными и публиковаться недостаточно часто. Проблема с размером списка пока еще не столь критична, поскольку в настоящее время инсталляции PKI относительно немногочисленные. Механизм протокола CRDP позволяет уменьшить длину списка, дробя его на более мелкие фрагменты. Сертификат пользователя содержит URL, указывающий на местоположение справочника, в котором хранится нужный фрагмент списка отозванных сертификатов, причем этот справочник может отличаться от используемого CA.

Согласно документу RFC 2459 механизм CRDP основывается на типах сертификатов. Дополнительной причиной для его использования является следующая: разные сертификаты нуждаются в различной скорости уведомления об их отзыве. Как правило, CA публикует список CRL с установленной периодичностью, не зависящей от типа сертификатов. Тем не менее особо важные сертификаты, такие, как сертификаты самих CA, должны публиковаться намного чаще, в противном случае доверие к ним может быть утрачено. Как пример рассмотрим интерактивную банковскую транзакцию. И клиенту, и банку необходимо проверять достоверность предъявленных сертификатов и аутентифицировать друг друга. Если список CRL публикуется каждый час, то отмененный сертификат остается действительным в течение 60 мин. Авторы документа RFC 2560, описывающего протокол OCSP, учли это обстоятельство. CA публикует информацию о сертификатах, отозванных посредством протокола CRL или LDAP, в справочнике, поддерживающем протокол OCSP для работы с аттестационным центром (VA). Если приложению PKI нужно проверить тот или иной сертификат, оно запросит о нем информацию у OCSP-респондера, который в ответ выдаст одно из трех сообщений: “сертификат действителен”, “сертификат отозван”, “сертификат неизвестен”. Однако имейте в виду, первый вариант ответа означает лишь одно: на момент запроса сертификат еще не был отозван.

Данные об отзыве сертификатов CA предоставляют OCSP-респондерам различными способами. Списки CRL могут запрашиваться самим OCSP-респондером (pull), либо направляться ему сертификационным центром (push), или же эти данные могут публиковаться без посредника.

В любом случае респондер должен доверять сертификату самого CA, чтобы быть уверенным в достоверности источника, из которого проистекает предназначенная для него информация. Вдобавок и клиент должен доверять OCSP-респондеру, заверяющему свои ответы цифровой подписью. Все это требует дополнительных мер по обеспечению безопасности всей инфраструктуры поддержки цифровых сертификатов, но, как говорится, игра стоит свеч.

Протокол OCSP нашел широкое применение благодаря усилиям компании ValiCert. Она активно участвует в стратегическом партнерстве с поставщиками PKI-решений и предлагает клиентам встраиваемые модули для Интернет-приложений, таких, как Netscape Communicator и Microsoft Internet Explorer. Эти модули работают с этими приложениями прозрачно, предоставляя пользователю возможность проверять статус сертификатов. Кроме того, ValiCert обеспечивает оперативную обработку сертификатов. Но и у протокола OCSP есть свои недостатки. В отличие от CRL он не обеспечивает автономную обработку данных PKI-приложением, поэтому нагрузка на OCSP-респондер может быть довольно высокой, к тому же каждый свой ответ он должен заверить с помощью цифровой подписи.

Протокол OCSP, предназначенный для своевременной проверки статуса сертификата, страдает тем же недостатком, что и CRL, а именно наличием временноўго промежутка между отзывом сертификата и опубликованием информации об этом. Способность преодолеть это запаздывание находится за пределами возможностей протокола OCSP.

***

Полную версию данной статьи смотрите в 12-м номере журнала за 2000 год.





  
12 '2000
СОДЕРЖАНИЕ

колонка редактора

• Прощай, DES

локальные сети

• Некоторые аспекты полевого тестирования волоконно-оптических систем, поддерживающих Gigabit Ethernet

• Кабельные системы категории 6 — миф или реальность?

• Современные ленточные накопители

• Магия беспроводных ЛВС

услуги сетей связи

• Анатомия пакетной передачи речи. Часть II. Качество

• MPLS: новый регулировщик движения на магистралях вашей сети

• Беспроводные мосты: быстрее, лучше дешевле

• Расширяем сеть Frame Relay

• Центр России в коммуникационном пространстве

• Нужно ли выбрасывать К-60П?

корпоративные сети

• Как задействовать все возможности DHCP

• Как выбрать средство удаленного управления

• Служба имен операционной системы Windows2000: проблемы и решения

защита данных

• Виртуальные частные сети в середе Windows 2000

• Управление отзывом сертификатов

электронная коммерция

• Инструменты управления содержимым Web-узлов. Руководство для покупателя.

• Готов ли ваш электронный магазин к обслуживанию покупателей?

бизнес

• Многоликий сервер

новые продукты

• Network Alchemy - философия интеграции


• КАЛЕЙДОСКОП



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх