Passa al contenuto principale

1. Introduction (Introduzione)

Questa specifica è parte di una famiglia di standard per l'infrastruttura a chiave pubblica (Public Key Infrastructure, PKI) X.509 per Internet.

Questa specifica definisce il profilo del formato e della semantica dei certificati e delle liste di revoca dei certificati (Certificate Revocation Lists, CRL) per la PKI Internet. Vengono descritte le procedure per l'elaborazione dei percorsi di certificazione nell'ambiente Internet. Infine, i moduli ASN.1 sono forniti nelle appendici per tutte le strutture dati definite o referenziate.

La sezione 2 descrive i requisiti della PKI Internet e le assunzioni che influenzano l'ambito di questo documento. La sezione 3 presenta un modello architetturale e descrive la sua relazione con gli standard IETF e ISO/IEC/ITU-T precedenti. In particolare, viene descritta la relazione di questo documento con le specifiche IETF PEM e i documenti ISO/IEC/ITU-T X.509.

La sezione 4 profila il certificato X.509 versione 3, e la sezione 5 profila la CRL X.509 versione 2. I profili includono l'identificazione delle estensioni ISO/IEC/ITU-T e ANSI che possono essere utili nella PKI Internet. I profili sono presentati nella notazione di sintassi astratta uno (Abstract Syntax Notation One, ASN.1) del 1988 anziché nella sintassi ASN.1 del 1997 utilizzata negli standard ISO/IEC/ITU-T più recenti.

La sezione 6 include le procedure di validazione del percorso di certificazione. Queste procedure sono basate sulla definizione ISO/IEC/ITU-T. Le implementazioni devono (REQUIRED) derivare gli stessi risultati ma non sono tenute a utilizzare le procedure specificate.

Le procedure per l'identificazione e la codifica dei materiali di chiave pubblica e delle firme digitali sono definite in [RFC3279], [RFC4055] e [RFC4491]. Le implementazioni di questa specifica non sono tenute a utilizzare algoritmi crittografici particolari. Tuttavia, le implementazioni conformi che utilizzano gli algoritmi identificati in [RFC3279], [RFC4055] e [RFC4491] devono (MUST) identificare e codificare i materiali di chiave pubblica e le firme digitali come descritto in tali specifiche.

Infine, vengono fornite tre appendici per aiutare gli implementatori. L'appendice A contiene tutte le strutture ASN.1 definite o referenziate in questa specifica. Come sopra, il materiale è presentato nell'ASN.1 del 1988. L'appendice B contiene note sulle caratteristiche meno familiari della notazione ASN.1 utilizzata in questa specifica. L'appendice C contiene esempi di certificati conformi e di una CRL conforme.

Questa specifica rende obsoleto [RFC3280]. Le differenze rispetto alla RFC 3280 sono riassunte di seguito:

  • Il supporto migliorato per i nomi internazionalizzati è specificato nella sezione 7, con regole per la codifica e il confronto di nomi di dominio internazionalizzati (Internationalized Domain Names), identificatori di risorse internazionalizzati (Internationalized Resource Identifiers, IRI) e nomi distinti (Distinguished Names). Queste regole sono allineate con le regole di confronto stabilite nelle RFC attuali, incluse [RFC3490], [RFC3987] e [RFC4518].

  • Le sezioni 4.1.2.4 e 4.1.2.6 incorporano le condizioni per l'uso continuato di schemi di codifica del testo legacy specificati in [RFC4630]. Quando utilizzata da una PKI consolidata, la transizione a UTF8String potrebbe causare denial of service basato su fallimenti di concatenamento dei nomi o elaborazione errata dei vincoli sui nomi.

  • La sezione 4.2.1.4 nella RFC 3280, che specificava l'estensione del certificato privateKeyUsagePeriod ma ne deprecava l'uso, è stata rimossa. L'uso di questa estensione standard ISO non è né deprecato né raccomandato per l'uso nella PKI Internet.

  • La sezione 4.2.1.5 raccomanda (RECOMMENDED) di contrassegnare l'estensione Policy Mappings come critica. La RFC 3280 richiedeva che l'estensione Policy Mappings fosse contrassegnata come non critica.

  • La sezione 4.2.1.11 richiede di contrassegnare l'estensione Policy Constraints come critica. La RFC 3280 permetteva che l'estensione Policy Constraints fosse contrassegnata come critica o non critica.

  • L'estensione CRL Authority Information Access (AIA), come specificato in [RFC4325], è stata aggiunta come sezione 5.2.7.

  • Le sezioni 5.2 e 5.3 chiariscono le regole per la gestione di estensioni CRL non riconosciute e estensioni di voce CRL, rispettivamente.

  • La sezione 5.3.2 nella RFC 3280, che specificava l'estensione di voce CRL holdInstructionCode, è stata rimossa.

  • L'algoritmo di validazione del percorso specificato nella sezione 6 non traccia più la criticità delle estensioni delle politiche dei certificati in una catena di certificati. Nella RFC 3280, queste informazioni venivano restituite a una parte utilizzatrice (Relying Party).

  • La sezione Considerazioni sulla sicurezza affronta il rischio di dipendenze circolari derivanti dall'uso di https o schemi simili nei punti di distribuzione CRL, nell'accesso alle informazioni dell'autorità o nelle estensioni di accesso alle informazioni del soggetto.

  • La sezione Considerazioni sulla sicurezza affronta i rischi associati all'ambiguità dei nomi.

  • La sezione Considerazioni sulla sicurezza fa riferimento alla RFC 4210 per le procedure per segnalare i cambiamenti nelle operazioni CA.

I moduli ASN.1 nell'appendice A sono invariati rispetto alla RFC 3280, tranne che ub-emailaddress-length è stato modificato da 128 a 255 per allinearsi con PKCS #9 [RFC2985].

Le parole chiave "deve" (MUST), "non deve" (MUST NOT), "richiesto" (REQUIRED), "dovrebbe" (SHOULD), "non dovrebbe" (SHOULD NOT), "raccomandato" (RECOMMENDED), "può" (MAY) e "opzionale" (OPTIONAL) in questo documento devono essere interpretate come descritto in [RFC2119].

Ultimo aggiornamento il