2. Requirements and Assumptions (Anforderungen und Annahmen)
Das Ziel dieser Spezifikation ist es, ein Profil zu entwickeln, um die Verwendung von X.509-Zertifikaten in Internet-Anwendungen für jene Gemeinschaften zu erleichtern, die X.509-Technologie nutzen möchten. Solche Anwendungen können WWW, E-Mail, Benutzerauthentifizierung und IPsec umfassen. Um einige Hindernisse bei der Verwendung von X.509-Zertifikaten zu beseitigen, definiert dieses Dokument ein Profil zur Förderung der Entwicklung von Zertifikatsverwaltungssystemen, der Entwicklung von Anwendungswerkzeugen und der durch Richtlinien bestimmten Interoperabilität.
Einige Gemeinschaften müssen dieses Profil ergänzen oder möglicherweise ersetzen, um die Anforderungen spezialisierter Anwendungsdomänen oder Umgebungen mit zusätzlichen Autorisierungs-, Sicherheits- oder Betriebsanforderungen zu erfüllen. Für grundlegende Anwendungen sind jedoch gemeinsame Darstellungen häufig verwendeter Attribute definiert, sodass Anwendungsentwickler notwendige Informationen unabhängig vom Aussteller eines bestimmten Zertifikats oder einer Zertifikatsperrliste (Certificate Revocation List, CRL) erhalten können.
Ein Zertifikatsbenutzer sollte die von der Zertifizierungsstelle (Certification Authority, CA) generierte Zertifikatsrichtlinie überprüfen, bevor er sich auf die Authentifizierungs- oder Nichtabstreitbarkeitsdienste verlässt, die mit dem öffentlichen Schlüssel in einem bestimmten Zertifikat verbunden sind. Zu diesem Zweck schreibt dieser Standard keine rechtlich verbindlichen Regeln oder Pflichten vor.
Mit dem Aufkommen ergänzender Autorisierungs- und Attributverwaltungswerkzeuge, wie z.B. Attributzertifikaten (Attribute Certificates), kann es angemessen sein, die authentifizierten Attribute zu begrenzen, die in einem Zertifikat enthalten sind. Diese anderen Verwaltungswerkzeuge können geeignetere Methoden zur Übermittlung vieler authentifizierter Attribute bieten.
2.1. Communication and Topology (Kommunikation und Topologie)
Die Benutzer von Zertifikaten werden in einer Vielzahl von Umgebungen in Bezug auf ihre Kommunikationstopologie arbeiten, insbesondere Benutzer von sicherer E-Mail. Dieses Profil unterstützt Benutzer ohne hohe Bandbreite, Echtzeit-IP-Konnektivität oder hohe Verbindungsverfügbarkeit. Darüber hinaus ermöglicht das Profil die Anwesenheit von Firewalls oder anderen gefilterten Kommunikationen.
Dieses Profil setzt nicht die Bereitstellung eines X.500-Verzeichnissystems [X.500] oder eines LDAP-Verzeichnissystems (Lightweight Directory Access Protocol) [RFC4510] voraus. Das Profil verbietet nicht die Verwendung eines X.500-Verzeichnisses oder eines LDAP-Verzeichnisses; es können jedoch beliebige Mittel zur Verteilung von Zertifikaten und Zertifikatsperrlisten (CRLs) verwendet werden.
2.2. Acceptability Criteria (Akzeptanzkriterien)
Das Ziel der Internet Public Key Infrastructure (PKI) ist es, die Bedürfnisse deterministischer, automatisierter Identifikations-, Authentifizierungs-, Zugriffskontroll- und Autorisierungsfunktionen zu erfüllen. Die Unterstützung dieser Dienste bestimmt die im Zertifikat enthaltenen Attribute sowie die zusätzlichen Kontrollinformationen im Zertifikat, wie z.B. Richtliniendaten und Zertifizierungspfadbeschränkungen.
2.3. User Expectations (Benutzererwartungen)
Benutzer der Internet-PKI sind Menschen und Prozesse, die Client-Software verwenden und die in Zertifikaten benannten Subjekte sind. Diese Verwendungen umfassen Leser und Schreiber von E-Mails, Clients für WWW-Browser, WWW-Server und den Schlüsselmanager für IPsec innerhalb eines Routers. Dieses Profil erkennt die Einschränkungen der Plattformen, die diese Benutzer einsetzen, und die Einschränkungen in der Raffinesse und Aufmerksamkeit der Benutzer selbst an. Dies manifestiert sich in minimaler Benutzerkonfigurationsverantwortung (z.B. vertrauenswürdige CA-Schlüssel, Regeln), expliziten Plattformnutzungsbeschränkungen innerhalb des Zertifikats, Zertifizierungspfadbeschränkungen, die den Benutzer vor vielen böswilligen Aktionen schützen, und Anwendungen, die Validierungsfunktionen sinnvoll automatisieren.
2.4. Administrator Expectations (Administratorerwartungen)
Wie bei den Benutzererwartungen ist das Internet-PKI-Profil so strukturiert, dass es die Personen unterstützt, die im Allgemeinen CAs betreiben. Die Bereitstellung unbegrenzter Wahlmöglichkeiten für Administratoren erhöht die Chancen, dass ein subtiler CA-Administratorfehler zu einer umfassenden Kompromittierung führt. Darüber hinaus erschweren unbegrenzte Wahlmöglichkeiten die Software, die die von der CA erstellten Zertifikate verarbeitet und validiert, erheblich.