Читаем Инфраструктуры открытых ключей полностью

Дополнение CRL Scope формально стандартизовано версией 2000 года рекомендаций X.509 и обеспечивает гибкость классификации информации списков САС по разным признакам. Списки САС могут быть разбиты на множества различными способами: по типам сертификатов, кодам причин аннулирования, серийным номерам, идентификаторам ключей субъектов и поддеревьям имен. Это дополнение всегда помечается как критичное.

Дополнение Status Referrals формально стандартизовано версией 2000 года рекомендаций X.509 и обеспечивает две основные функции: во-первых, дает возможность динамически разбивать информацию об аннулировании (поскольку включает в свой синтаксис дополнение CRL Scope ); во-вторых, позволяет удостоверяющим центрам публиковать перечень текущих списков САС. Перечень помогает доверяющей стороне анализировать, владеет ли она последней информацией об аннулировании, и избегать лишней (без необходимости) пересылки списков САС. В этом дополнении также может публиковаться информация нового САС, прежде чем произойдет обновление более старого, но не просроченного списка. Это дополнение всегда помечается как критичное.

Дополнение CRL Stream Identifier формально стандартизовано версией 2000 года рекомендаций X.509 и используется для идентификации контекста, внутри которого номер САС является уникальным. Если каждому пункту распространения САС присваивается уникальный идентификатор, то его комбинация с номером САС позволяет, независимо от типа списка, уникально идентифицировать каждый САС, выпущенный данным УЦ. Это дополнение всегда помечается как некритичное.

Дополнение Ordered List формально стандартизовано версией 2000 года рекомендаций X.509 и характеризует упорядоченность САС по возрастанию серийных номеров или дат аннулирования. Если дополнение отсутствует, то порядок по умолчанию считается заданным локальной политикой УЦ. Это дополнение всегда помечается как некритичное.

Дополнение Delta Information формально стандартизовано версией 2000 года рекомендаций X.509 и указывает местонахождение дельта-списка САС и время выпуска следующего дельта-списка (последний атрибут необязателен). Это дополнение всегда помечается как некритичное.

Дополнение Issuing Distribution Point используется вместе с дополнением сертификата CRL Distribution Point и отражает названия пунктов распространения САС и типы сертификатов, содержащихся в списке (например, сертификаты только конечных пользователей, сертификаты только удостоверяющих центров и/или сертификаты, аннулированные по определенной причине ). Когда разрешено, дополнение указывает, что САС является косвенным списком. Один издатель САС может поддерживать несколько пунктов распространения САС. В качестве указателя пункта распространения САС могут использоваться доменные имена, IP-адреса или имена файлов на web-сервере.

Коды причины, относящиеся к пункту распространения САС, задаются в поле Only Some Reasons. Если это поле не используется, то пункт распространения САС содержит информацию об аннулировании сертификатов по всем причинам. Издатели САС могут использовать пункты распространения САС, чтобы различать списки, сформированные по причине компрометации ключа и по другим причинам. В этом случае один пункт распространения предназначается для информирования об аннулировании сертификатов с кодами причины аннулирования "компрометация ключа" или "компрометация УЦ", а другой пункт распространения - для случаев аннулирования по другим причинам.

При хранении САС в каталоге должна быть указана точка входа в каталог, соответствующая данному пункту распространения (она не всегда совпадает с точкой входа в каталог УЦ). Дополнение Issuing Distribution Point всегда помечается как критичное. Признак критичности гарантирует, что в процессе валидации вместо полного списка не будет случайно использован неполный САС. Если при валидации сертификата это дополнение не распознается, то дельта-список САС должен быть отвергнут.

Дополнение Delta CRL Indicator идентифицирует САС как дельта-список. Дельта-список САС фиксирует изменения с момента выпуска предыдущего САС. Вообще говоря, САС должен содержать все аннулированные сертификаты - такой список известен как базовый САС. Однако УЦ может формировать и дельта- списки аннулированных сертификатов. Базовый и дельта-список вместе содержат всю информацию об аннулировании сертификатов данного домена, известную на момент выпуска дельта-списка. Области охвата дельта-списка и базового списка должны совпадать.