Книга: Инфраструктуры открытых ключей

Пункты распространения САС

Пункты распространения САС

Пункты распространения САС, иногда называемые частичными списками САС, позволяют размещать информацию об аннулировании сертификатов домена отдельного УЦ в нескольких списках САС >[45]. Пункты распространения САС, по сравнению с полными списками САС, имеют два важных преимущества:

1 позволяют разбивать всю информацию об аннулировании на более управляемые части, не допуская чрезмерного разрастания списков САС;

2 не требуют дополнительного информирования об их местонахождении, поскольку в сертификатах обычно содержатся указатели на пункты распространения САС и доверяющим сторонам не приходится выяснять, где находится информация о статусе проверяемых сертификатов.

Синтаксис дополнения CRL Distribution Point позволяет идентифицировать местонахождение соответствующей части САС: это может быть определенный сервер, заданный при помощи DNS-имени или IP-адреса, или определенное место на сервере (например, дерево информации каталога общедоступного репозитория или файл на web-сервере). Рис. 9.1 иллюстрирует понятие пункта распространения САС >[44].

Рис. 9.1.  Пункт распространения САС

Итак, пункты распространения САС, по сравнению с полными списками, предлагают более масштабируемое решение. При условии продуманного разбиения полных списков на части и размещения частичных списков в кэш-памяти уменьшается нагрузка на сетевые ресурсы. Однако существенным недостатком частичных списков САС является необходимость статично связывать каждый сертификат с информацией о конкретном пункте распространения САС, то есть фиксировать эту связь на весь период действия сертификата. Для устранения этого недостатка был предложен механизм переадресующих списков САС.

Оглавление книги