Passa al contenuto principale

2. Requirements and Assumptions (Requisiti e presupposti)

L'obiettivo di questa specifica è sviluppare un profilo per facilitare l'uso dei certificati X.509 nelle applicazioni Internet per quelle comunità che desiderano utilizzare la tecnologia X.509. Tali applicazioni possono includere WWW, posta elettronica, autenticazione utente e IPsec. Al fine di alleviare alcuni degli ostacoli all'utilizzo dei certificati X.509, questo documento definisce un profilo per promuovere lo sviluppo di sistemi di gestione dei certificati, lo sviluppo di strumenti applicativi e l'interoperabilità determinata dalle politiche.

Alcune comunità dovranno integrare, o eventualmente sostituire, questo profilo per soddisfare i requisiti di domini applicativi specializzati o ambienti con ulteriori requisiti di autorizzazione, garanzia o operativi. Tuttavia, per le applicazioni di base, sono definite rappresentazioni comuni di attributi frequentemente utilizzati in modo che gli sviluppatori di applicazioni possano ottenere le informazioni necessarie indipendentemente dall'emittente di un particolare certificato o lista di revoca dei certificati (Certificate Revocation List, CRL).

Un utente di certificati dovrebbe esaminare la politica del certificato generata dall'autorità di certificazione (Certification Authority, CA) prima di fare affidamento sui servizi di autenticazione o non ripudio associati alla chiave pubblica in un particolare certificato. A questo scopo, questo standard non prescrive regole o doveri legalmente vincolanti.

Man mano che emergono strumenti supplementari di autorizzazione e gestione degli attributi, come i certificati di attributi (Attribute Certificates), può essere appropriato limitare gli attributi autenticati inclusi in un certificato. Questi altri strumenti di gestione possono fornire metodi più appropriati per trasmettere molti attributi autenticati.

2.1. Communication and Topology (Comunicazione e topologia)

Gli utenti di certificati opereranno in una vasta gamma di ambienti per quanto riguarda la loro topologia di comunicazione, in particolare gli utenti di posta elettronica sicura. Questo profilo supporta utenti senza alta larghezza di banda, connettività IP in tempo reale o alta disponibilità di connessione. Inoltre, il profilo consente la presenza di firewall o altre comunicazioni filtrate.

Questo profilo non presuppone la distribuzione di un sistema di directory X.500 [X.500] o di un sistema di directory LDAP (Lightweight Directory Access Protocol) [RFC4510]. Il profilo non vieta l'uso di una directory X.500 o di una directory LDAP; tuttavia, può essere utilizzato qualsiasi mezzo di distribuzione di certificati e liste di revoca dei certificati (CRL).

2.2. Acceptability Criteria (Criteri di accettabilità)

L'obiettivo dell'infrastruttura a chiave pubblica (Public Key Infrastructure, PKI) Internet è soddisfare le esigenze di funzioni di identificazione, autenticazione, controllo degli accessi e autorizzazione deterministiche e automatizzate. Il supporto per questi servizi determina gli attributi contenuti nel certificato nonché le informazioni di controllo accessorie nel certificato come i dati delle politiche e i vincoli del percorso di certificazione.

2.3. User Expectations (Aspettative degli utenti)

Gli utenti della PKI Internet sono persone e processi che utilizzano software client e sono i soggetti nominati nei certificati. Questi utilizzi includono lettori e scrittori di posta elettronica, client per browser WWW, server WWW e il gestore delle chiavi per IPsec all'interno di un router. Questo profilo riconosce le limitazioni delle piattaforme che questi utenti impiegano e le limitazioni nella sofisticazione e attenzione degli utenti stessi. Questo si manifesta in una responsabilità di configurazione utente minima (ad esempio, chiavi CA attendibili, regole), vincoli di utilizzo della piattaforma espliciti all'interno del certificato, vincoli del percorso di certificazione che proteggono l'utente da molte azioni malevole e applicazioni che automatizzano sensibilmente le funzioni di validazione.

2.4. Administrator Expectations (Aspettative degli amministratori)

Come per le aspettative degli utenti, il profilo PKI Internet è strutturato per supportare le persone che generalmente gestiscono le CA. Fornire agli amministratori scelte illimitate aumenta le possibilità che un sottile errore dell'amministratore della CA risulti in un compromesso ampio. Inoltre, le scelte illimitate complicano notevolmente il software che elabora e convalida i certificati creati dalla CA.

Ultimo aggiornamento il