Cryptography Reference
In-Depth Information
■
Name Constraints
: Dieses Feld (»Namenseinschränkungen«) wird nur für
CA-Zertifikate benutzt. Es gibt Einschränkungen für die Namen an, die die
CA beim Ausstellen von Zertifikaten beachten muss. PKIX ermöglicht die Ver-
wendung dieser Erweiterung (als kritisch markiert), Common PKI dagegen
verbietet sie.
■
Policy Constraints
: Diese Erweiterung, die übersetzt »Policy-Einschränkun-
gen« heißt, ist ebenfalls nur für CA-Zertifikate vorgesehen. Ihr Zweck wird in
Abschnitt 29.4.2 beschrieben. Das PKIX-Profil empfiehlt, diese Erweiterung
zu verwenden (unkritisch), Common PKI lässt diesen Punkt offen.
■
Inhibit Any-Policy
: Dieses Feld spielt im Zusammenhang mit Policy Mapping
eine Rolle. Siehe Abschnitt 29.4.2.
■
Freshest CRL
: Diese stets nichtkritische Erweiterung wird auch als »Delta
CRL Distribution Point« bezeichnet. Dadurch wird auch der Zweck dieses
Felds klar: Die CA verweist damit auf einen oder mehrere Stellen im Netz, wo
eine aktuelle Delta-Sperrliste zum Download bereit steht. Wenn eine CA mit
Delta-Sperrlisten arbeitet, ist die Verwendung des Freshest-CRL-Felds eine
sinnvolle Sache.
■
Private Internet Extensions
: Diese Erweiterung ermöglicht es einer CA, wei-
tere Informationen in einem Zertifikat abzulegen. Noch ist die genaue Nut-
zung dieses Felds unklar.
Mit diesen zusätzlichen Zertifikatsfeldern kann eine CA zweifellos aus dem Vol-
len schöpfen. Wie wir gleich sehen werden, gibt es jedoch noch mehr Erweiterun-
gen, die von bestimmten Implementierungen verwendet werden.
27.3
Weitere X.509-Profile
Die in PKIX und Common PKI beschriebenen Profile machen nicht nur Aussagen
darüber, wie die Standardfelder und die Standarderweiterungen von X.509v3-
Zertifikaten verwendet werden. Vielmehr werden darin auch einige zusätzliche
Erweiterungen beschrieben. Davon abgesehen bietet der X.509-Standard soge-
nannte Attributzertifikate.
27.3.1
Die PKIX-Erweiterungen
Der PKIX-Standard RFC 5280 fügt folgende Erweiterungen zum X.509v3-For-
mat hinzu [RFC5280]:
■
Authority Information Access
: In dieser stets nichtkritischen Erweiterung
kann eine CA auf zusätzliche Dienste oder Informationen verweisen, die sie
anbietet. Die wichtigste Anwendung dieses Felds besteht darin, auf einen
OCSP-Responder zu verweisen, den die CA betreibt und an dem Alice den
