Download - Svetlin Nakov
Download - Svetlin Nakov
Download - Svetlin Nakov
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
списъка на Root-сертификатите, на които безусловно се вярва. За всеки от<br />
сертификатите се проверява допълнително срокът му на валидност и дали<br />
има право да подписва други сертификати [RFC 3280, раздел 6].<br />
Доверени Root-сертификати<br />
Всеки софтуер за проверка на сертификационни вериги поддържа списък от<br />
доверени Root-сертификати (trusted root CA certificates), на които вярва<br />
безусловно. Това са най-често Root-сертификатите на утвърдените глобални<br />
(световни) сертификационни органи.<br />
Например уеб браузърът Microsoft Internet Explorer идва стандартно със<br />
списък от около 150 доверени Root-сертификата, а браузърът Mozilla при<br />
първоначална инсталация съдържа около 70 доверени сертификата.<br />
Процесът на верификация на сертификационна верига<br />
Проверката на една сертификационна верига включва не само проверка на<br />
това дали всеки сертификат е подписан от следващия и дали сертификатът в<br />
края на тази верига е в списъка на доверените Root-сертификати.<br />
Необходимо е още да се провери дали всеки от сертификатите във веригата<br />
не е с изтекъл срок на валидност, а също дали всеки от сертификатите без<br />
първия има право да бъде използван за подписване на други сертификати.<br />
Ако проверката на последното условие бъде пропусната, ще стане възможно<br />
краен клиент да издава сертификат на името на когото си поиска и<br />
верификацията на издадения сертификат да преминава успешно.<br />
При проверката на дадена сертификационна верига се проверява и дали<br />
някой от сертификатите, които я съставят, не е анулиран (revoked). На<br />
процеса по анулиране на сертификати ще се спрем малко по-късно.<br />
Съвкупността от всички описани проверки има за цел да установи дали на<br />
един сертификат може да се вярва. Ако проверката на една сертификационна<br />
верига не е успешна, това не означава непременно, че има опит за<br />
фалшификация. Възможно е списъкът на доверените Root-сертификати,<br />
използван при верификацията, да не съдържа Root-сертификата, с който<br />
завършва веригата, въпреки че той е истински.<br />
В общия случай един сертификат не може да бъде верифициран по описания<br />
начин, ако не е налична цялата му сертификационна верига или ако Rootсертификатът,<br />
с който започва веригата му, не е в списъка на доверените<br />
сертификати. Сертификационната верига на един сертификат може да се<br />
построи и програмно, ако не е налична, но за целта трябва да са налични<br />
всички сертификати, които участват в нея.<br />
1.2.3. Хранилища за сертификати<br />
В системите за електронно подписване на документи се използват защитени<br />
хранилища за ключове и сертификати (protected keystores). Едно такова<br />
хранилище може да съдържа три типа елементи – сертификати,<br />
сертификационни вериги и лични ключове.<br />
31