Cryptography Reference
In-Depth Information
gewesen, andere Begriffe zu verwenden. Möglich wären zum Beispiel
CAP
(
CA Policy
) statt CPS und
DCP
(
Digital Certificate Policy
) statt
CP
.
■
Schlecht gestaltet ist in RFC 3647 zudem die Behandlung des Themas Zertifi-
katsersetzung. Der RFC sieht drei unterschiedliche Prozesse hierfür vor: Zer-
tifikatserneuerung, Zertifikatsschlüsselerneuerung und Zertifikatsmodifika-
tion. Leider werden diese drei Prozesse nicht sauber voneinander abgegrenzt.
So ist nicht klar, welche Zertifikatsinhalte sich bei einer Zertifikatsschlüsse-
lerneuerung ändern. Einerseits ist es der Sinn dieses Prozesses, dass außer dem
Schlüssel alle Inhalte gleich bleiben (ansonsten wäre es eine Zertifikatsmodifi-
kation). Andererseits müssen sich aus naheliegenden Gründen wenigstens die
Gültigkeitsdauer und die Seriennummer des Zertifikats im Rahmen dieses
Prozesses ändern. In RFC 3647 ist nichts Näheres dazu zu erfahren.
■
RFC 3647 geht nicht auf PGP-Zertifikate ein. Dies ist einerseits verständlich,
da RFC 3647 zu PKIX gehört, das wiederum in der X.509-Welt angesiedelt
ist. CPS/CP-Autoren interessiert die Herkunft des Standards jedoch wenig,
weshalb sie das Fehlen von PGP oft als Mangel betrachten.
Ich hoffe, dass einige dieser Mängel in der nächsten Version von RFC 3647 beho-
ben werden. Eine Umbenennung von CPS und CP wird es jedoch kaum geben, da
sich die beiden existierenden Bezeichnungen längst eingebürgert haben.
Veraltete Inhalte
RFC 3647 wurde im Jahr 2003 veröffentlicht. Bei Redaktionsschluss dieses
Buchs war der Inhalt des Standards somit bereits neun Jahre alt. Da sich im PKI-
Bereich zwischenzeitlich einiges getan hat, weist RFC 3647 zwangsläufig Lücken
auf. Die folgende Liste nennt einige Beispiele:
■
Roaming-PSEs werden in RFC 3647 nicht erwähnt.
■
Kurzlebige Zertifikate werden in RFC 3647 nicht erwähnt.
■
CV-Zertifikate werden in RFC 3647 nicht erwähnt.
■
Das Thema Identity Management wird in RFC 3647 nicht erwähnt.
■
Smartcards werden in RFC 3647 nicht erwähnt.
Das Fehlen dieser Begriffe heißt natürlich nicht, dass die entsprechenden Themen
im CPS oder in der CP nicht vorkommen dürfen. Vor allem für den weniger
erfahrenen CPS/CP-Autoren wäre es jedoch sinnvoll, sie zu erwähnen. Außerdem
lassen sich diese Mängel in der nächsten Version von 3647 beheben. Man muss
sich jedoch die Frage stellen, ob ein RFC überhaupt das richtige Medium für ein
CPS/CP-Rahmenwerk ist. Ein RFC ist im Normalfall einige Jahre lang gültig, was
etwa für die Beschreibung eines Protokolls durchaus sinnvoll ist. Ein CPS/CP-
Rahmenwerk ist jedoch kein Protokoll und kann sich deshalb ändern, ohne dass
Interoperabilitätsprobleme entstehen. Es ist daher zu überlegen, ob RFC 3647
durch ein anders geartetes Dokument ersetzt werden sollte, bei dem kontinuierli-
che Nachbesserungen möglich sind.
