Cryptography Reference
In-Depth Information
■
CRL Number
: Hiermit ist eine eindeutige Seriennummer der Sperrliste
gemeint. PKIX schreibt vor, diese Erweiterung als unkritisch zu verwenden,
Common PKI ebenfalls.
■
Delta CRL Indicator
: Diese in jedem Fall kritische Erweiterung zeigt an, dass
es sich bei der vorliegenden Sperrliste um eine Delta-Sperrliste handelt. Gemäß
PKIX und Common PKI können Delta-Sperrlisten und damit diese Erweite-
rung verwendet werden.
■
Issuing Distribution Point
: In dieser in jedem Fall kritischen Erweiterung wer-
den ein Sperrlisten-Verteilungspunkt und gegebenenfalls einige Angaben über
Einschränkungen in der Verwendung der Sperrliste angegeben. Gemäß PKIX
muss diese Erweiterung nicht vorhanden sein, Common PKI verbietet sie
sogar.
Die PKIX-Arbeitsgruppe der IETF führte eine weitere Erweiterung ein:
■
Freshest CRL
: Diese stets unkritische Erweiterung wird nur eingesetzt, wenn
Delta-Sperrlisten im Einsatz sind. Eine Delta-Sperrliste selbst enthält
Freshest
CRL
jedoch nicht. Vielmehr ist diese Erweiterung für Basis-Sperrlisten
gedacht. Der Zweck besteht darin, den Verteilungspunkt der zugehörigen
Delta-Sperrlisten zu nennen.
Zusätzlich gibt es in X.509v2 vordefinierte Erweiterungen, die pro gesperrtem
Zertifikat einmal vorkommen:
■
Reason Code
: Hier wird der Grund für die Sperrung des jeweiligen Zertifikats
angegeben (siehe unten). PKIX empfiehlt die Verwendung dieser Erweiterung.
Gemäß Common PKI kann sie verwendet werden.
■
Hold Instruction Code
: In dieser Erweiterung werden zusätzliche Angaben
gemacht, falls die Sperrung temporär ist. Da Common PKI keine temporären
Sperrungen erlaubt, verbietet es diese Erweiterung.
■
Invalidity Date
: In dieser Erweiterung wird angegeben, zu welchem Zeit-
punkt das jeweilige Zertifikat ungültig geworden ist. Common PKI verbietet
die Verwendung dieser Erweiterung.
■
Certificate Issuer
: In dieser Erweiterung steht der Name der CA, die das
jeweilige gesperrte Zertifikat signiert hat. Gemäß Common PKI kann dieses
Feld verwendet werden.
Sowohl Common PKI als auch PKIX verzichten darauf, eigene Sperrlisten-Erwei-
terungen einzuführen. Die folgende Liste nennt die Sperrgründe, die im Feld
Rea-
son Code
genannt werden können (in Klammern jeweils der englische Ausdruck
für den Sperrgrund sowie dessen Nummer):
