Extensões definidas pela
recomendação X.509v3
As ditas
extensões de certificado permitem à Autoridade
Certificadora (AC) incluir informações fora dos campos
padrões dos certificados. Qualquer organização pode
definir extensões privadas requeridas. Porém, muitos dos
requisitos da extensão padrão já atende a maioria
dos casos, e elas permitem a interoperabilidade e um menor
custo.
As
extensões padrão usualmente utilizadas em uma
Infra-estrutura de Chaves Públicas descritas abaixo estão
separadas em cinco grupos:
• Tipo de
Assunto;
• Nome e
informação da identidade;
• Atributos da
Chave;
•
Informações sobre a política;
•
Informações adicionais.
1. Tipo de
assunto
• Impedimentos
Básicos: Indica se o sujeito do certificado pode agir como uma
AC, utilizando a chave pública do certificado para verificar a
assinatura digital de outros certificados.
2. Nome e informação da
identidade
• Nome alternativo do
sujeito: Este campo contém um ou mais nomes alternativos para
o sujeito do certificado.
• Nome Alternativo do
Emissor: Este campo contém um ou mais nomes alternativos para
o emissor do certificado;
• Impedimentos sobre
Nomes: Indica um espaço de nomes de sujeitos que deveriam ser
localizados dentro do caminho de certificação. A busca
deve começar a partir do certificado que declara o
impedimento. A extensão deve ser utilizada somente em
certificados de AC;
3. Atributos da
chave
• Identificador
da Chave da Autoridade: Identifica a chave pública que deve
ser utilizada na verificação da assinatura do
certificado.
• Identificador
da Chave do Sujeito: Este campo identifica unicamente a chave
pública do certificado digital. Normalmente é a
"impressão digital" da chave pública.
• Uso da Chave Indica
o(s) propósito(s) para o qual a chave pública do
certificado pode ser utilizada;
- 128
– Assinatura Digital;
-
64 –
Não-repúdio;
- 32
– Codificação de chaves;
- 16
– Codificação de dados;
- 8
– Cert_key agreement key usage;
- 4
– Pode assinar certificado – para autoridade
certificadora;
- 2 –
Assinatura de CRL
• Período para
Uso da Chave Privada: Período de uso, contendo a data de
início da validade e a data de término de validade, da
chave privada correspondente à chave pública do
certificado. Este campo é aplicado somente em chaves para
assinatura digital. Esta extensão deve ser não-
crítica;
• Uso Estendido da
Chave Indica o propósito para o qual a chave pública do
certificado pode ser utilizada, em adição ou
substituição ao propósito definidos no campo "Uso da
Chave". O valor entre parênteses indica o
OID;
- Servidor
Seguro (1.3.6.1.5.5.7.3.1);
- Cliente Web
(1.3.6.1.5.5.7.3.2);
- Assinatura de código
(1.3.6.1.5.5.7.3.3);
- E-mail
(1.3.6.1.5.5.7.3.4);
- Datação
(1.3.6.1.5.5.7.3.8);
-
outros…
4. Informações sobre a
política
• Aqui tem as
informações sobre qual é a política do
certificado devem ser reconhecidas pela AC
emissora;
5. Informações
adicionais
• Atributos de
Diretório;
• Ponto de
Distribuição da Lista de Certificados Revogados (LCR):
Aponta para o local ou locais onde a LCR correspondente ao
certificado está armazenada. A aplicação cliente
encontrará a LCR atualizada, para conferir se o certificado em
processamento está revogado;
No ICP
Brasil, falarei dele um pouco melhor mais tarde, faz uma
separação de certificados digitais em duas classes, a do
tipo "A", de Assinatura, e "S", de Sigilo. Na extensão de "Uso
da chave" é crítica: em certificados de assinatura
digital, somente os bits "128" (Assinatura digital), "64"
(Não-repúdio) e "32" (Codificação de chaves)
podem ser usados; em certificados de sigilo, somente os bits "32"
(Codificação de chaves) e "16" (Codificação de
dados) podem ser usados.