Closed agievich closed 6 years ago
pavlovkv
commented
6 years ago На мой взгляд, в нашем случае, когда РУЦ выпускает большую часть сертификатов, в этом нет необходимости. Сертификат(ы) РУЦа легко можно получить с его портала. И все должны знать его адрес. А для ПУЦ такого URI попросту может не существовать.
Однако с точки зрения завершенности стандарта, данную ветку можно и поддержать.
agievich
commented
6 years ago Ветка id-ad-caIssuers добавлена. Действительно, система сертификатов становится самодостаточной.: По сертификату конечного участника можно восстановить все сертификаты цепочки, кроме сертификатов КУЦ. Сертификаты КУЦ являются точками доверия, их восстановление по AuthorityInfoAccess лишено смысла. Поэтому расширение AuthorityInfoAccess исключается из сертификатов РУЦ (еще одна причина исключения -- отсутствие поддержки OCSP со стороны КУЦ).
В расширении
AuthorityInfoAccessветкаid-ad-caIssuers(ссылка на сертификаты эмитента данного сертификата) не задействована.Предлагаю поддержать ветку во всех сертификатах, кроме сертификата КУЦ.
Реализация очень простая:
accessMethod=id-ad-caIssuers;accessLocation= URI по которому располагаются сертификаты эмитента.