2 NHỮNG VẤN ĐỀ CƠ BẢN TRONG XÂY DỰNG HỆ THỐNG PKI
2.1.3. Kiến trúc danh sách tin cậy
Đây là kiến trúc được áp dụng rộng rãi đối với dịch vụ Web. Trong đó, các trình duyệt và các máy chủ là những đối tượng sử dụng tiêu biểu nhất. Trong mô hình này, các trình duyệt đều lưu một file riêng chứa các thẻ xác nhận gốc của các CA được tin cậy. File này tồn tại ngay khi trình duyệt được cài đặt. Việc quản lý file này có thểđược thực hiện bởi các cá nhân sử dụng trình duyệt. Các tổ chức cũng có thể cấp quyền cho việc tải hoặc quản lý các thông tin từ một máy chủ của tổ chức. Đối với mỗi file này, người sử dụng có thể bổ sung hoặc xóa bớt những thẻ xác nhận khỏi danh sách. Tuy nhiên, khả năng xử lý cách nhánh xác nhận của các ứng dụng hiện còn khá hạn chế.
Các trình duyệt có thể sử dụng các cặp khóa công khai/khoá riêng để ký, để kiểm chứng, giải mã hoặc mã hoá các thưđiện tử theo chuẩn S/MIME. Với các thẻ xác nhận, các trình duyệt cũng có thể thiết lập các phiên truyền thông an toàn SSL (Secure Sockets Layer). SSL là một giao thức xác thực và mã hoá ở tầng chuyển vận. Trong một phiên truyền thông SSL, người dùng có thể gửi đi một mẫu biểu hoặc nhận về các thông tin từ một máy chủ dưới hình thức được mã hoá và xác thực. Mặt khác, các trình duyệt còn có thể
kiểm chứng các chữ ký sốđược áp dụng đối với thông tin được truyền đi.
EE 4 4 4 5 5 (A)
(B) EE EE
EE EE
CA 1 CA 2 CA 3
EE EE
Hình 2-3 Kiến trúc PKI danh sách tin cậy
Như vậy, ta có thể coi kiến trúc PKI danh sách tin cậy là một mô hình hướng trình duyệt.