česky | english
Obsah kořenových certifikátů
- Porovnání obsahu kořenových certifikátů vygenerovaných roku 2003, 2008 a 2014 (tbd - bude doplňováno).
Odkazy: rozvíjející se debata o všech otázkách: Debata o obsahu; hierarchie všech kořenových certifikátů: Struktura.
Rozložení
Technické rozložení
Pole |
2003 |
2008 |
tbd |
komentář |
Verze |
verze 3 |
Požadováno, bez problémů |
||
serialNumber |
0,1 |
2,3,4 (,5,6) |
|
V prostoru DN [internetové domény] musí být jedinečné (poněkud nedefinované, pravděpodobně CN) jako sKID [subjectKeyIDentifier] |
subjectKeyIdentifier |
"hash" == sha1 (vlastní veřejný klíč) |
Nekritické rozšíření, povinné. Formát a obsah viz RFC 5280. |
||
authorityKeyIdentifier |
"hash" == sha1 (podpisový veřejný klíč), nebo sKID [subjectKeyIDentifier] podpisového klíče. |
Nekritické rozšíření, povinné. Formát a obsah viz RFC 5280. |
||
Platnost |
2033 |
2038 |
2034 |
Redukovaná platnost z 30 na 20 let k zajištění kryptografického "zdraví" |
Kryptografické algoritmy |
|
|||
Typ PK |
MD5 s šifrováním RSA (1.2.840.113549.1.1.4) |
SHA-1 s šifrováním RSA (1.2.840.113549.1.1.5) |
SHA-512 s šifrováním RSA (1.2.840.113549.1.1.13) |
Nyní vydávané kořenové certifikáty, které vyprší roku 2040, používají SHA-1 + RSA. Podpora SHA-2 ve Windows: přehled zde |
Velikost |
4096 bitů |
4096 bitů |
4096 bitů |
vydrží 30 let, viz BlueKrypt |
Formát |
PKCS1 |
standardní |
||
Haš |
MD5 |
SHA1 |
SHA-512 |
|
basicConstraints |
Kritické |
Kritické rozšíření Basic Constraints. |
||
cA |
true |
Toto je certifikační autorita |
||
pathLen |
|
3 |
Max. délka řetězu mezi kořenem a listem (nepovinné pole) |
|
keyUsage |
Pouze keyCertSign a cRLSign |
Kritické rozšíření povinné pro kořenové cert. Nastavit bity 5, 6 na 1. EV-G-AppB konkurs. |
||
CPS6.3.2 určuje 30 let pro kořenové certifikáty (ten z roku 2008 chybou Y2038 měl 29.5 roku) a 10 let pro zprostředkující (sub-root) certifikáty.
CAB Baseline Requirements for Certificates (základní požadavky na certifikáty)
Pracovní rozložení
Pole |
Název |
2003 |
2008 |
tbd |
komentáře |
O |
Organizace |
Root CA |
CAcert.org - Community Certification Authority |
standardní rozložení, viz níže |
|
OU |
Organizační jednotka (Organisational Unit) |
Povolení POUŽÍT |
cacert.org |
|
|
CN |
Běžný název (Common Name) |
CA Cert Signing Authority |
CAcert.org |
CAcert Root |
|
Rozšíření |
(označte, co je kritické) |
|
|||
Zásady certifikátu |
Povolení POUŽÍT |
|
"preferované" pole pro zásady; "použití" dokumentu je první a nejdůležitější. Není kritické. |
||
Předmět: serialNumber [pořadové číslo] (OID [identifikátor objektu, Object ID]: 2.5.4.5) |
žádné |
žádné |
žádné |
(Registrační číslo sdružení) INC9880170 pro uzly pod kořeny. Není kritické. |
|
Pořadová čísla
Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 1 z roku 2003 začínají 10 (hex). Pořadová čísla v rozsahu 0 - F lze považovat za "reservovaná" a byla jim přidělena čísla:
0 |
Kořenový certifikát třídy 1 s podpisem MD5 |
1 |
Kořenový certifikát třídy 3 (zprostředkující) s podpisem MD5 (starý) |
E |
Class 3 Root with SHA256 signature with hash-only Authority Key Identifier (tbd) |
F |
Class 1 Root with SHA256 signature with hash-only Authority Key Identifier (tbd) |
Existující kořenový certifikát třídy 3 (zprostředkující) s podpisem SHA256 (znovu podepsaný roku 2011) má pořadové číslo ve vyšším (nereservovaném) rozsahu (0A:41:8A).
Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 3 z roku 2003 začínají 02 (hex). Pořadová čísla 0 a 1 lze považovat za "reservovaná" a nemají žádné zvláštní přidělení.