Aller au contenu principal

2. Requirements and Assumptions (Exigences et hypothèses)

L'objectif de cette spécification est de développer un profil pour faciliter l'utilisation des certificats X.509 dans les applications Internet pour les communautés souhaitant utiliser la technologie X.509. Ces applications peuvent inclure le WWW, le courrier électronique, l'authentification des utilisateurs et IPsec. Afin de lever certains obstacles à l'utilisation des certificats X.509, ce document définit un profil pour promouvoir le développement de systèmes de gestion de certificats, le développement d'outils d'application et l'interopérabilité déterminée par la politique.

Certaines communautés devront compléter, ou éventuellement remplacer, ce profil afin de répondre aux exigences de domaines d'application spécialisés ou d'environnements avec des exigences supplémentaires d'autorisation, d'assurance ou opérationnelles. Cependant, pour les applications de base, des représentations communes d'attributs fréquemment utilisés sont définies afin que les développeurs d'applications puissent obtenir les informations nécessaires sans tenir compte de l'émetteur d'un certificat particulier ou d'une liste de révocation de certificats (Certificate Revocation List, CRL).

Un utilisateur de certificat devrait examiner la politique de certificat générée par l'autorité de certification (Certification Authority, CA) avant de se fier aux services d'authentification ou de non-répudiation associés à la clé publique dans un certificat particulier. À cette fin, cette norme ne prescrit pas de règles ou d'obligations juridiquement contraignantes.

Au fur et à mesure que des outils supplémentaires d'autorisation et de gestion d'attributs émergent, tels que les certificats d'attributs (Attribute Certificates), il peut être approprié de limiter les attributs authentifiés qui sont inclus dans un certificat. Ces autres outils de gestion peuvent fournir des méthodes plus appropriées pour transmettre de nombreux attributs authentifiés.

2.1. Communication and Topology (Communication et topologie)

Les utilisateurs de certificats fonctionneront dans une large gamme d'environnements en ce qui concerne leur topologie de communication, en particulier les utilisateurs de courrier électronique sécurisé. Ce profil prend en charge les utilisateurs sans bande passante élevée, connectivité IP en temps réel ou disponibilité de connexion élevée. De plus, le profil permet la présence de pare-feu ou d'autres communications filtrées.

Ce profil ne suppose pas le déploiement d'un système d'annuaire X.500 [X.500] ou d'un système d'annuaire Lightweight Directory Access Protocol (LDAP) [RFC4510]. Le profil n'interdit pas l'utilisation d'un annuaire X.500 ou d'un annuaire LDAP ; cependant, tout moyen de distribution de certificats et de listes de révocation de certificats (CRL) peut être utilisé.

2.2. Acceptability Criteria (Critères d'acceptabilité)

L'objectif de l'infrastructure à clé publique (Public Key Infrastructure, PKI) Internet est de répondre aux besoins des fonctions d'identification, d'authentification, de contrôle d'accès et d'autorisation déterministes et automatisées. Le support de ces services détermine les attributs contenus dans le certificat ainsi que les informations de contrôle auxiliaires dans le certificat telles que les données de politique et les contraintes de chemin de certification.

2.3. User Expectations (Attentes des utilisateurs)

Les utilisateurs de l'infrastructure PKI Internet sont des personnes et des processus qui utilisent des logiciels clients et sont les sujets nommés dans les certificats. Ces utilisations incluent les lecteurs et les rédacteurs de courrier électronique, les clients de navigateurs WWW, les serveurs WWW et le gestionnaire de clés pour IPsec au sein d'un routeur. Ce profil reconnaît les limitations des plateformes que ces utilisateurs emploient et les limitations de sophistication et d'attention des utilisateurs eux-mêmes. Cela se manifeste par une responsabilité de configuration utilisateur minimale (par exemple, clés CA de confiance, règles), des contraintes d'utilisation de plateforme explicites dans le certificat, des contraintes de chemin de certification qui protègent l'utilisateur de nombreuses actions malveillantes, et des applications qui automatisent sensiblement les fonctions de validation.

2.4. Administrator Expectations (Attentes des administrateurs)

Comme pour les attentes des utilisateurs, le profil PKI Internet est structuré pour soutenir les individus qui exploitent généralement les CA. Offrir aux administrateurs des choix illimités augmente les chances qu'une erreur subtile d'administrateur de CA entraîne une compromission étendue. De plus, les choix illimités compliquent grandement le logiciel qui traite et valide les certificats créés par la CA.

Dernière mise à jour le