CHƯƠNG II: CHỨNG CHỈ SỐ
2.5.3 Khuôn dạng chứng chỉ số X.509
Vào những năm 1993-1994, mọi cố gắng nhằm triển khai các chứng chỉ X.509 trên phạm vi đủ lớn được đẩy mạnh. Người ta nhận thấy rằng các khuôn dạng chứng chỉ v1, v2 không đáp ứng được tất cả các yêu cầu. Sau đây là một số lý do dẫn đến việc ra đời của phiên bản 3:
- Đối tượng có thể có các chứng chỉ khác nhau với các khóa công khai khác nhau và giả thiết rằng các cặp khóa cần được cập nhật định kỳ, do đó cần phải có cách để phân biệt các chứng chỉ khác nhau của đối tượng này một cách dễ dàng.
- Một tên đối tượng trở thành tên duy nhất nhưng nó không có đủ thông tin cho những người sử dụng khác nhận dạng đối tượng, cần có thêm thông tin nhân dạng đối tượng ngoài tên đối tượng.
- Một số ứng dụng cần nhận dạng những người sử dụng thông qua các dạng tên xác định ứng dụng, ngoài các tên X.500. Ví dụ trong an toàn thư tín điện tử, việc gắn kết một khóa công khai với một thư điện tử. - Các chứng chỉ khác nhau có thể được phát hành theo các chính sách và
các hoạt động chứng thực khác nhau. Các chính sách và các hoạt động chứng thực này thường chi phối mức độ tin cậy của người dùng khóa công khai đối với chứng chỉ. Ví dụ nếu chứng chỉ được phát hành cho thuê bao với sự mong đợi rằng đôi khi nó sẽ được sử dụng cho mục đích mã hóa thư tín điện tử, CA không phải thực hiện tất cả các kiểm tra nhận dạng và xác thực thích hợp nếu chứng chỉ đã được sử dụng cho việc kiểm tra các chữ ký số trong các giao dịch tài chính giữa các tổ chức.
- Các đường dẫn chứng thực ( chứng thực đệ quy) không được phép dài tùy tiện và phức tạp. Khi một CA (CA phát hành) chứng thực một CA khác (CA của một chủ thể), CA phát hành có thể chỉ muốn nhận một tập hợp con các chứng chỉ được CA của môt chủ thể phát hành.
Trong thực tế để thỏa mãn các yêu cầu (đã biết hoặc chưa biết) trong tương lai, cần bổ sung thêm các trường vào khuôn dạng chứng chỉ. Các tổ chức chuẩn (như ISO/IEC, ITU và ANSI 19) chấp nhận bổ sung thêm vào chứng chỉ X.509 một cơ chế mở rộng chung. Kết quả là X.509 có ba khuôn dạng chứng chỉ được định nghĩa. Chứng chỉ trong phiên bản ba có cùng khuôn dạng với các chứng chỉ phiên bản 1, 2 nhưng có thêm các trường mở rộng.
Mỗi trường mở rộng có một kiểu (cần được đăng ký). Giống với cách khi đăng ký một thuật toán, kiểu của trường mở rộng được đăng ký bằng cách gán cho nó một tên đối tượng. Các cộng đồng quan tâm có thể định nghĩa các kiểu của trường mở rộng nhằm đáp ứng các nhu cẩu riêng của họ. Cờ cần thiết sẽ chỉ báo khi sự xuất hiện của trường mở rộng là cần thiết (Critical) hoặc không (Non- Critical). Nếu cờ này chỉ báo: sự xuất hiện của trường mở rộng là không thiết yếu thì hệ thống sử dụng chứng chỉ được phép bỏ qua trường mở rộng néu nó không chấp nhận kiểu của trường mở rộng. Nếu cờ này chỉ báo thiết yếu thì hệ thống sẽ không an toàn nếu sử dụng một phần bất kỹ của chứng chỉ, trừ khi hệ thống này chấp nhận kiểu của trường mở rộng và thiết lập chức năng liên quan.
Hình 2.5