2. Requirements and Assumptions (要件と前提条件)

本仕様の目標は、X.509技術の使用を希望するコミュニティのために、インターネットアプリケーション内でX.509証明書の使用を促進するプロファイルを開発することです。そのようなアプリケーションには、WWW、電子メール、ユーザー認証、およびIPsecが含まれる場合があります。X.509証明書の使用に対する障害の一部を軽減するために、本文書は、証明書管理システムの開発、アプリケーションツールの開発、およびポリシーによって決定される相互運用性を促進するプロファイルを定義します。

一部のコミュニティは、追加の認可、保証、または運用要件を持つ特殊なアプリケーションドメインまたは環境の要件を満たすために、このプロファイルを補足するか、場合によっては置き換える必要があります。ただし、基本的なアプリケーションの場合、頻繁に使用される属性の共通表現が定義されているため、アプリケーション開発者は特定の証明書または証明書失効リスト (Certificate Revocation List, CRL) の発行者に関係なく必要な情報を取得できます。

証明書ユーザーは、特定の証明書内の公開鍵に関連付けられた認証または否認防止サービスに依拠する前に、認証局 (Certification Authority, CA) によって生成された証明書ポリシーを確認する必要があります。この目的のため、本標準は法的拘束力のある規則または義務を規定していません。

属性証明書 (Attribute Certificate) などの補足的な認可および属性管理ツールが登場するにつれて、証明書に含まれる認証された属性を制限することが適切である可能性があります。これらの他の管理ツールは、多くの認証された属性を伝達するためのより適切な方法を提供する場合があります。

2.1. Communication and Topology (通信とトポロジー)

証明書のユーザーは、特に安全な電子メールのユーザーの場合、通信トポロジーに関して広範囲の環境で動作します。このプロファイルは、高帯域幅、リアルタイムIP接続、または高い接続可用性を持たないユーザーをサポートします。さらに、プロファイルは、ファイアウォールまたはその他のフィルタリングされた通信の存在を許可します。

このプロファイルは、X.500ディレクトリシステム [X.500] または軽量ディレクトリアクセスプロトコル (Lightweight Directory Access Protocol, LDAP) ディレクトリシステム [RFC4510] の展開を前提としていません。プロファイルはX.500ディレクトリまたはLDAPディレクトリの使用を禁止していません。ただし、証明書および証明書失効リスト (CRL) を配布する任意の手段を使用できます。

2.2. Acceptability Criteria (受容性基準)

インターネット公開鍵基盤 (Public Key Infrastructure, PKI) の目標は、決定論的で自動化された識別、認証、アクセス制御、および認可機能のニーズを満たすことです。これらのサービスのサポートは、証明書に含まれる属性と、ポリシーデータや証明書パス制約などの証明書内の補助制御情報を決定します。

2.3. User Expectations (ユーザーの期待)

インターネットPKIのユーザーは、クライアントソフトウェアを使用し、証明書で指名されたサブジェクトである人々およびプロセスです。これらの用途には、電子メールの読み取りおよび書き込み、WWWブラウザのクライアント、WWWサーバー、およびルーター内のIPsecのキーマネージャーが含まれます。このプロファイルは、これらのユーザーが使用するプラットフォームの制限と、ユーザー自身の洗練度および注意力の制限を認識しています。これは、最小限のユーザー構成責任 (例：信頼されたCAキー、ルール)、証明書内の明示的なプラットフォーム使用制約、多くの悪意のある行動からユーザーを保護する証明書パス制約、および検証機能を賢明に自動化するアプリケーションに現れています。

2.4. Administrator Expectations (管理者の期待)

ユーザーの期待と同様に、インターネットPKIプロファイルは、一般的にCAを運用する個人をサポートするように構成されています。管理者に無制限の選択肢を提供すると、微妙なCA管理者のミスが広範な侵害につながる可能性が高まります。また、無制限の選択肢は、CAによって作成された証明書を処理および検証するソフトウェアを大幅に複雑にします。

---