Cryptography Reference
In-Depth Information
Version : In diesem Feld wird die Version des X.509-Sperrlistenformats ange-
geben. In der 1988 erschienenen ersten Version war dies die Zahl 0 (die Zäh-
lung beginnt also bei Null, nicht bei Eins).
Signature : Dieses Feld enthält die Kennung des zur Signatur der Sperrliste ver-
wendeten Signatur-Algorithmus.
Issuer : Dieses Feld enthält den Namen (Distinguished Name nach X.500) des
Herausgebers der Sperrliste, also in der Regel einer CA.
This Update : Hier wird der Zeitpunkt angegeben, zu dem die Sperrliste her-
ausgegeben wurde.
Next Update : Hier wird der Ausgabezeitpunkt der nächsten Sperrliste ange-
geben.
Revoked Certificates : Dieses Feld enthält die Seriennummern der gesperrten
Zertifikate, jeweils mit dem Sperrdatum.
Ähnlich wie X.509v1-Zertifikate zeigten auch X.509v1-Sperrlisten schnell Unzu-
länglichkeiten. 1996 erschien daher mit der dritten Version des X.509-Standards
ein erweitertes Format für Sperrlisten. Verwirrenderweise spricht man in diesem
Zusammenhang von X.509v2-Sperrlisten, da in der drei Jahre zuvor erschiene-
nen zweiten X.509-Version das Sperrlistenformat nicht geändert worden war.
X.509v2-Sperrlisten sehen die Möglichkeit vor, beliebige weitere Felder (Erweite-
rungen) selbst festzulegen. Es gibt einerseits Erweiterungen, die pro Sperrliste nur
einmal auftauchen, und andererseits solche, die innerhalb des Felds Revoked Cer-
tificates einmal pro aufgeführter Zertifikatsseriennummer vorhanden sind. Jede
Erweiterung ist entweder als kritisch oder als unkritisch markiert (mit gleicher
Bedeutung wie bei X.509v3-Zertifikaten). Um Wildwuchs zu vermeiden, nahmen
die Standardisierer zum X.509v2-Format einige vordefinierte Erweiterungen
hinzu. Diese wurden auch von PKIX und Common PKI übernommen. Folgende
vordefinierte Erweiterungen beziehen sich jeweils auf die gesamte Sperrliste:
Authority Key Identifier : In dieser Erweiterung wird eine eindeutige Kennung
des Schlüssels des Herausgebers der Sperrliste abgelegt. Damit lassen sich bei-
spielsweise unterschiedliche Schlüssel einer CA unterscheiden. Das PKIX- und
das Common-PKI-Profil sehen beide vor, dass diese Erweiterung verwendet
wird und als kritisch (PKIX) bzw. unkritisch (Common PKI) markiert wird.
Issuer Alternative Name : Im Namensfeld der Sperrliste muss ein X.500-Name
angegeben werden. In dieser Erweiterung kann ein weiterer Name oder eine
sonstige Kennung des Herausgebers stehen (etwa seine E-Mail- oder IP-
Adresse). PKIX sieht vor, diese Erweiterung dann zu verwenden, wenn ein
alternativer Name in Gebrauch ist. Dabei wird empfohlen, die Erweiterung
als unkritisch zu markieren. Gemäß Common PKI kann diese Erweiterung
verwendet werden, muss dann aber unkritisch sein.
Search WWH ::




Custom Search