Closed bcryptobot closed 5 years ago
Во-первых, действующие сертификаты заведомо не соответствуют BPKI.
Во-вторых, жесткий порядок атрибутов вызван необходимостью соответствия СТБ 34.101.19 (п. 9.1) в части процедур сравнения имен. Дело в том, что любая перестановка атрибутов (например, givenName и surname) изменяет (!) имя: речь идет о двух разных субъектах.
Жесткий порядок позволит не запутаться в именах.
Отклонено. Остается добавить, что жесткий порядок упростит работу клиентов TLS, которые в
сообщении CertificateRequest
получают от серверов список уникальных имен признаваемых удостоверяющих центров. Имена кодируются по правилам DER. Естественно, что изменение порядка id-атрибутов изменит имя. Если не зафиксировать порядок, то клиентам придется (в общем случае) выполнять перестановки атрибутов.
Странный порядок атрибутов: упорядочены по OID, в то время как Name является именем X.501: в X.501 атрибуты должны быть организованы иерархически для эффективного поиска в дереве объектов - страна, город, организация, подразделение, ... CN.
Варианты иерархического порядка атрибутов для ФЛ :
или
Странный порядок атрибутов: упорядочены по OID, в то время как Name является именем X.501: в X.501 атрибуты должны быть организованы иерархически для эффективного поиска в дереве объектов - страна, город, организация, подразделение, ... CN.
Замечание требует пояснений. Почему "должны быть организованы иерархически"? Разве есть требования по этому поводу в стандартах X.509? Как перестановка полей в Name повышает эффективность поиска? Если "должны быть", то почему приводятся два разных варианта упорядочения? Какой из этих вариантов правильный с точки зрения "должны быть"? Что делать с другими ролями субъектов? Для них вводить собственные варианты упорядочения?
Еще раз повторю, что мы находимся в той фазе, когда разговоры в духе "мне это не нравится" неприемлемы. Должны быть конкретные предложения, желательно оформленные в виде PR.
Предложение недостаточно проработано. Закрывается.
Слишком жёсткий порядок атрибутов в типе 'Name'. Многие действующие сертификаты станут недействительными только из-за другого порядка этих атрибутов. Изменить требования к порядку атрибутов.