Aller au contenu principal

1. Introduction

Cette spécification fait partie d'une famille de normes pour l'infrastructure à clé publique (Public Key Infrastructure, PKI) X.509 pour Internet.

Cette spécification définit le profil du format et de la sémantique des certificats et des listes de révocation de certificats (Certificate Revocation Lists, CRL) pour l'infrastructure PKI Internet. Les procédures de traitement des chemins de certification dans l'environnement Internet sont décrites. Enfin, des modules ASN.1 sont fournis dans les annexes pour toutes les structures de données définies ou référencées.

La section 2 décrit les exigences de l'infrastructure PKI Internet et les hypothèses qui affectent la portée de ce document. La section 3 présente un modèle architectural et décrit sa relation avec les normes IETF et ISO/IEC/ITU-T précédentes. En particulier, la relation de ce document avec les spécifications IETF PEM et les documents ISO/IEC/ITU-T X.509 est décrite.

La section 4 profile le certificat X.509 version 3, et la section 5 profile la CRL X.509 version 2. Les profils incluent l'identification des extensions ISO/IEC/ITU-T et ANSI qui peuvent être utiles dans l'infrastructure PKI Internet. Les profils sont présentés dans la notation de syntaxe abstraite numéro un (Abstract Syntax Notation One, ASN.1) de 1988 plutôt que dans la syntaxe ASN.1 de 1997 utilisée dans les normes ISO/IEC/ITU-T les plus récentes.

La section 6 inclut les procédures de validation de chemin de certification. Ces procédures sont basées sur la définition ISO/IEC/ITU-T. Les implémentations sont tenues (REQUIRED) de produire les mêmes résultats mais ne sont pas tenues d'utiliser les procédures spécifiées.

Les procédures d'identification et d'encodage des matériaux de clé publique et des signatures numériques sont définies dans [RFC3279], [RFC4055] et [RFC4491]. Les implémentations de cette spécification ne sont pas tenues d'utiliser des algorithmes cryptographiques particuliers. Cependant, les implémentations conformes qui utilisent les algorithmes identifiés dans [RFC3279], [RFC4055] et [RFC4491] doivent (MUST) identifier et encoder les matériaux de clé publique et les signatures numériques comme décrit dans ces spécifications.

Enfin, trois annexes sont fournies pour aider les implémenteurs. L'annexe A contient toutes les structures ASN.1 définies ou référencées dans cette spécification. Comme ci-dessus, le matériel est présenté dans l'ASN.1 de 1988. L'annexe B contient des notes sur les caractéristiques moins familières de la notation ASN.1 utilisée dans cette spécification. L'annexe C contient des exemples de certificats conformes et d'une CRL conforme.

Cette spécification rend obsolète [RFC3280]. Les différences par rapport à la RFC 3280 sont résumées ci-dessous :

  • Un support amélioré pour les noms internationalisés est spécifié dans la section 7, avec des règles pour l'encodage et la comparaison des noms de domaine internationalisés (Internationalized Domain Names), des identificateurs de ressources internationalisés (Internationalized Resource Identifiers, IRI) et des noms distinctifs (Distinguished Names). Ces règles sont alignées avec les règles de comparaison établies dans les RFC actuelles, y compris [RFC3490], [RFC3987] et [RFC4518].

  • Les sections 4.1.2.4 et 4.1.2.6 intègrent les conditions pour l'utilisation continue des schémas d'encodage de texte hérités qui ont été spécifiés dans [RFC4630]. Lorsqu'elle est utilisée par une PKI établie, la transition vers UTF8String pourrait causer un déni de service basé sur des échecs de chaînage de noms ou un traitement incorrect des contraintes de noms.

  • La section 4.2.1.4 de la RFC 3280, qui spécifiait l'extension de certificat privateKeyUsagePeriod mais déconseillait son utilisation, a été supprimée. L'utilisation de cette extension standard ISO n'est ni déconseillée ni recommandée pour une utilisation dans l'infrastructure PKI Internet.

  • La section 4.2.1.5 recommande (RECOMMENDED) de marquer l'extension de mappages de politique (Policy Mappings) comme critique. La RFC 3280 exigeait que l'extension de mappages de politique soit marquée comme non critique.

  • La section 4.2.1.11 exige de marquer l'extension de contraintes de politique (Policy Constraints) comme critique. La RFC 3280 permettait que l'extension de contraintes de politique soit marquée comme critique ou non critique.

  • L'extension CRL d'accès aux informations d'autorité (Authority Information Access, AIA), telle que spécifiée dans [RFC4325], a été ajoutée en tant que section 5.2.7.

  • Les sections 5.2 et 5.3 clarifient les règles pour gérer les extensions CRL non reconnues et les extensions d'entrée CRL, respectivement.

  • La section 5.3.2 de la RFC 3280, qui spécifiait l'extension d'entrée CRL holdInstructionCode, a été supprimée.

  • L'algorithme de validation de chemin spécifié dans la section 6 ne suit plus la criticité des extensions de politiques de certificat dans une chaîne de certificats. Dans la RFC 3280, cette information était retournée à une partie utilisatrice (Relying Party).

  • La section Considérations de sécurité aborde le risque de dépendances circulaires résultant de l'utilisation de https ou de schémas similaires dans les points de distribution CRL, l'accès aux informations d'autorité ou les extensions d'accès aux informations de sujet.

  • La section Considérations de sécurité aborde les risques associés à l'ambiguïté des noms.

  • La section Considérations de sécurité fait référence à la RFC 4210 pour les procédures de signalement des changements dans les opérations CA.

Les modules ASN.1 de l'annexe A sont inchangés par rapport à la RFC 3280, sauf que ub-emailaddress-length a été changé de 128 à 255 afin de s'aligner avec PKCS #9 [RFC2985].

Les mots-clés « doit » (MUST), « ne doit pas » (MUST NOT), « requis » (REQUIRED), « devrait » (SHOULD), « ne devrait pas » (SHOULD NOT), « recommandé » (RECOMMENDED), « peut » (MAY) et « optionnel » (OPTIONAL) dans ce document doivent être interprétés comme décrit dans [RFC2119].

Dernière mise à jour le