22.06.2005 17:45:33cross-certification Ответов: 5
Егор
Опишите, пожалуйста, процесс выпуска и проверки кросс-сертификатов. Может не сам процесс, а то как проверить time-nesting 2х сертификатов: предположим время начала действия CA1 t1 < t2 -времени начала действия CA2, таким образом имеем сертификат CA1 на ключе CA2, время начала действия этого кросс-сертификата t1 а время начала действия сертификата CA2 t2. Так как t2 > t1 получаем вылет по time-nesting, то есть проверить действительность кросс-сертификата CA1 с помощью сертификата CA2 возможно только в случае, когда мы не обращаем внимание на то, что сертификата CA2 тогда еще не существовало? или время начала действия кросс-сертификатов отличается от истинного времени начала действия сертификатов CA?
 
Ответы:
23.06.2005 10:50:13fav
Время начала действия кросс-сертификатов отличается от времени начала действия "оригинальных" сертификатов. Процесс выпуска кросс-сертификата примерно такой: Со стороны одного CA (например, CA1) во второй CA (CA2) подается запрос на изготовление кросс-сертификата (сам сертификат CA1 не предоставляется). По этому запросу CA2 изготавливает кросс-сертификат CA1 - начало его действия это время издания, а время окончания действия устанавливается регламентом CA1 и/или двусторонним соглашением между CA1 и CA2
23.06.2005 12:58:40Егор
спасибо за ответ. но у меня возник еще один вопрос: как поступать клиентам удостоверяющего центра CA1 с сертификатами клиентов другого центра CA2, выпущенными до начала действия кросс-сертификата CA2 в CA1(CA2 до кросс-сертификации выпускал сертификаты)?
23.06.2005 14:41:48fav
При проверке пользователем CA1 какого- либо сертифката, изданного CA2 (до кросс-сертификации или позже) будет строиться цепочка сертификатов (сертификат пользователя CA2 - кросс-сертификат изданный CA1 для CA2 - сертификат CA1), в которой будет проверяться каждый сертификат цепочки не текущий момент времени. Если все эти сертификаты действительны на этот момент времени (не аннулированы/приостановлены, время начала действия сертифика наступило, а время окончания действия не истекло), то все будет в порядке.
23.06.2005 14:42:07Василий
Доверять им.
Ведь проверка осуществляется на момент, когда все сертификаты действуют.
23.06.2005 14:56:41fav
Вообще говоря доверять или недоверять (применительно к рассматриваемому случаю) решает владелец информационной системы (или ее участники), где используется ЭЦП (сертификаты). Если, например, определить так: сертификаты, время начала действия которых наступило ранее времени начала действия сертификата издателя (сертификат издателя в нашем случае - это изданный кросс-сертификат) считать недействительными и реализовать эту схему в конкретной системе (добавить эту проверку), то цепочка сертификатов не построится.
Если же ничего не реализовывать дополнительно, то, например, в Windows, цепочка построится, поскольку все сертификаты будут действительны.