Obsah kořenových certifikátů

Rozložení

Technické rozložení

Pole

2003

2008

tbd

komentář

Verze

verze 3

Požadováno, bez problémů

serialNumber

0,1

2,3,4 (,5,6)

V prostoru DN [internetové domény] musí být jedinečné (poněkud nedefinované, pravděpodobně CN) jako sKID [subjectKeyIDentifier]

subjectKeyIdentifier

"hash" == sha1 (vlastní veřejný klíč)

Nekritické rozšíření, povinné. Formát a obsah viz RFC 5280.

authorityKeyIdentifier

"hash" == sha1 (podpisový veřejný klíč), nebo sKID [subjectKeyIDentifier] podpisového klíče.

Nekritické rozšíření, povinné. Formát a obsah viz RFC 5280.

Platnost

2033

2038

2034

Redukovaná platnost z 30 na 20 let k zajištění kryptografického "zdraví"

Kryptografické algoritmy

Typ PK

MD5 s šifrováním RSA (1.2.840.113549.1.1.4)

SHA-1 s šifrováním RSA (1.2.840.113549.1.1.5)

SHA-512 s šifrováním RSA (1.2.840.113549.1.1.13)

Nyní vydávané kořenové certifikáty, které vyprší roku 2040, používají SHA-1 + RSA. Podpora SHA-2 ve Windows: přehled zde

Velikost

4096 bitů

4096 bitů

4096 bitů

vydrží 30 let, viz BlueKrypt

Formát

PKCS1

standardní

Haš

MD5

SHA1

SHA-512

basicConstraints

Kritické

Kritické rozšíření Basic Constraints.

cA

true

Toto je certifikační autorita

pathLen

3

Max. délka řetězu mezi kořenem a listem (nepovinné pole)

keyUsage

Pouze keyCertSign a cRLSign

Kritické rozšíření povinné pro kořenové cert. Nastavit bity 5, 6 na 1. EV-G-AppB konkurs.

Pracovní rozložení

Pole

Název

2003

2008

tbd

komentáře

O

Organizace

Root CA

CAcert.org - Community Certification Authority

standardní rozložení, viz níže

OU

Organizační jednotka (Organisational Unit)

http://www.cacert.org/

Povolení POUŽÍT

cacert.org

CN

Běžný název (Common Name)

CA Cert Signing Authority

CAcert.org

CAcert Root

Rozšíření

(označte, co je kritické)

Zásady certifikátu

http://www.cacert.org/index.php?id=10

Povolení POUŽÍT

"preferované" pole pro zásady; "použití" dokumentu je první a nejdůležitější. Není kritické.

Předmět: serialNumber [pořadové číslo] (OID [identifikátor objektu, Object ID]: 2.5.4.5)

žádné

žádné

žádné

(Registrační číslo sdružení) INC9880170 pro uzly pod kořeny. Není kritické.

Pořadová čísla

Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 1 z roku 2003 začínají 10 (hex). Pořadová čísla v rozsahu 0 - F lze považovat za "reservovaná" a byla jim přidělena čísla:

0

Kořenový certifikát třídy 1 s podpisem MD5

1

Kořenový certifikát třídy 3 (zprostředkující) s podpisem MD5 (starý)

E

Class 3 Root with SHA256 signature with hash-only Authority Key Identifier (tbd)

F

Class 1 Root with SHA256 signature with hash-only Authority Key Identifier (tbd)

Existující kořenový certifikát třídy 3 (zprostředkující) s podpisem SHA256 (znovu podepsaný roku 2011) má pořadové číslo ve vyšším (nereservovaném) rozsahu (0A:41:8A).

Pořadová čísla certifikátů vydaných pod kořenovým certifikátem třídy 3 z roku 2003 začínají 02 (hex). Pořadová čísla 0 a 1 lze považovat za "reservovaná" a nemají žádné zvláštní přidělení.