Như được giới thiệu trong phần trên, một số mở rộng liên quan đến chính sách có trong chứng thư. Những mở rộng liên quan đến chính sách này được sử dụng trong khi thiết lập xác thực chéo giữa các miền PKI. Một chính sách chứng thư trong X.509 được định nghĩa là “tên của tập các qui tắc chỉ ra khả năng có thể sử dụng của chứng thư cho một tập thể đặc thù và một lớp ứng dụng với những yêu cầu bảo mật chung” .
Chính sách có định danh duy nhất (được biết đến như định danh đối tượng hay OID) và định danh này được đăng ký để người cấp và người sử dụng chứng thư có thể nhận ra và tham chiếu đến. Một chứng thư có thể được cấp theo nhiều chính sách. Một số có thể là thủ tục và mô tả mức đảm bảo gắn với việc tạo và quản lý chứng thư. Những chính sách khác có thể là kỹ thuật và mô tả mức đảm bảo gắn với an toàn của hệ thống được sử dụng để tạo chứng thư hay nơi lưu trữ khó .
Một chính sách chứng thư cũng có thể được hiểu là việc giải thích những yêu cầu và giới hạn liên quan đến việc sử dụng chứng thư được công bố theo những chính sách này. Chính sách chứng thư - Certificate Policies (CP) được chứa trong trường mở rộng chuẩn của chứng thư X.509. Bằng việc kiểm tra trường này trong chứng thư, hệ thống sử dụng chứng thư có thể xác định được một chứng thư cụ thể có thích hợp cho mục đích sử dụng hay không.
Một thuật ngữ chuyên môn khác “Certificate Practice Statement (CPS)” được sử dụng để mô tả chi tiết những thủ tục hoạt động bên trong của CA và PKI cấp chứng thư với chính sách chứng thư đã qui định.
Chính sách chứng thư đặc biệt quan trọng khi đưa ra quyết định để xác nhận chéo hai PKI khác nhau.
4.2.2.Công bố và gửi thông báo thu hồi chứng thư
Thông thường chứng thư sẽ hợp lệ trong khoảng thời gian có hiệu lực. Nhưng trong một số trường hợp chứng thư lại không hợp lệ trước thời gian hết hạn, ví dụ như:
- Khó cá nhân của chủ thể bị xâm phạm . - Thông tin chứa trong chứng thư bị thay đổi - Khó cá nhân của CA cấp chứng thư bị xâm phạm
Trong những trường hợp này cần có một cơ chế để thông báo đến những người sử dụng khác Một trong những phương pháp để thông báo đến người sử dụng về trạng thái của chứng thư là công bố CRLs định kỳ hoặc khi cần thiết. Ngoài ra, có một số cách lựa chọn khác để thông báo đến người sử dụng như dựng phương pháp trực tuyến Online Certificate Status Protocol.
a. Certificate Revocation Lists (CRLs)
CRLs là cấu trúc dữ liệu được ký như chứng thư người sử dụng. CRLs chứa danh sách các chứng thư đã bị thu hồi và những thông tin cần thiết khác của người sử dụng. CRL thường do một CA cấp. Tuy nhiên CRL cũng có thể được sử dụng để cung cấp thông tin cho nhiều CA nếu nó được định nghĩa như một CRL gián tiếp. Những thông tin này được chứa trong trường mở rộng CRL Scope.
Hình 4.3 – Khuôn dạng thu hồi chứng thư Trong đó:
- Version number: chỉ ra phiên bản của CRL.
- Signature: nhận biết loại hàm băm và thuật toán ký được sử dụng để ký danh sách thu hồi CRL.
- Issuer: tân của thực thể cấp và ký CRL.
- This Update: chỉ ra ngày và thời gian CRL được công bố.
- Next Update: chỉ ra ngày và thời gian danh sách thu hồi kế tiếp được cấp. - List of revoked certificates: chứa danh sách cùng với serial của những
chứng thư bị thu hồi.
Những chứng thư đã bị CA thu hồi được ghi vào danh sách theo thứ tự của revoked Certificates. Mỗi đầu vào nhận biết chứng thư thông qua số serial và ngày thu hồi trên đó có ghi rõ thời gian và ngày khi chứng thư bị CA thu hồi.
4.3.Hệ thống lưu trữ (Repositories)
Chứng thư (khó công) và thông tin thu hồi chứng thư phải được phân phối sao cho những người cần đến chứng thư đều có thể truy cập và lấy được. Có 2 phương pháp phân phối chứng thư: