Delta CRL Indicator

A extens˜ao delta CRL indicator ´e cr´ıtica e identifica que uma LCR ´e delta. As LCRs delta contˆem atualiza¸c˜oes de informa¸c˜ao de revoga¸c˜ao previamente distribu´ıdas, ao inv´es de con- ter todas as informa¸c˜oes constantes de uma LCR completa. O uso de LCRs delta pode significativamente reduzir o carregamento da rede e o tempo de processamento em deter- minados ambientes. LCRs delta s˜ao geralmente menores que as LCRs que elas atualizam, assim, as aplica¸c˜oes que obtˆem LCRs delta consomem menos banda da rede que aplica¸c˜oes que obtˆem as LCRs completas correspondentes. Aplica¸c˜oes que armazenam informa¸c˜ao de revoga¸c˜ao em formato diferente da estrutura da LCR podem adicionar nova informa¸c˜ao de revoga¸c˜ao `a base de dados local sem a necessidade de reprocessar toda informa¸c˜ao.

A extens˜ao delta CRL indicator cont´em um valor ´unico do tipo BaseCRLNumber. O CRL number identifica a LCR, completa para um dado escopo, que foi utilizada como ponto de referˆencia para a gera¸c˜ao da presente LCR delta. Um emissor de LCR em conformidade DEVE publicar a LCR base referenciada como uma LCR completa. A LCR delta cont´em todas as atualiza¸c˜oes de estado de revoga¸c˜ao para um mesmo escopo. A combina¸c˜ao de uma LCR delta mais a LCR base referenciada ´e equivalente a uma LCR completa, para o escopo considerado, no tempo da publica¸c˜ao da LCR delta.

Quando um emissor de LCR gera uma LCR delta, a LCR delta DEVE incluir a extens˜ao cr´ıtica delta CRL indicator.

Quando uma LCR delta ´e emitida, ela DEVE cobrir o mesmo conjunto de raz˜oes e o mesmo conjunto de certificados que foram cobertos pela LCR base que ela referencia. Isto ´e, o es- copo da LCR delta DEVE ser o mesmo escopo da LCR completa referenciada como LCR base. A LCR base referenciada e a LCR delta DEVEM omitir a extens˜ao issuing ditribution point ou conter extens˜oes issuing distribution point iguais. Al´em disso, o emissor de LCR DEVE usar a mesma chave privada para assinar a LCR delta e qualquer LCR completa que a LCR delta atualiza.

A aplica¸c˜ao que suporta LCRs delta pode construir uma LCR completa para um dado escopo, combinando a LCR delta para aquele escopo com, tanto uma LCR emitida para aquele escopo que seja completa ou uma LCR localmente constru´ıda que seja completa para aquele escopo.

Ern

an

des

Quando um LCR delta ´e combinada com uma LCR completa ou uma LCR localmente constru´ıda, a LCR resultante, localmente constru´ıda, tem como CRL number aquele espe- cificado na extens˜ao CRL number encontrada na LCR delta, utilizada para a sua constru- ¸c˜ao. Adicionalmente, a LCR resultante, localmente constru´ıda, tem os tempos thisUpdate e nextUpdate especificados nos campos correspondentes da LCR delta utilizada na sua constru¸c˜ao. Al´em disso, a LCR localmente constru´ıda herda os calores contidos em issuing distribution point da LCR delta.

Uma LCR completa e uma LCR delta PODEM ser combinadas quando as quatro condi¸c˜oes `a seguir forem satisfeitas:

(a) A LCR completa e a LCR delta possuem o mesmo emissor.

(b) A LCR completa e a LCR delta possuem o mesmo escopo. As duas LCRs possuem o mesmo escopo se ocorrer uma das seguintes condi¸c˜oes:

(1) A extens˜ao issuingDistributionPoint ´e omitida tanto na LCR completa quanto na LCR delta.

(2) A extens˜ao issuingDistributionPoint estiver presente tanto na LCR com- pleta quanto na LCR delta, e o valor desses campos for o mesmo nas duas LCRs.

(c) O CRL number da LCR completa ´e iqual ou maior que o BaseCRLNumber es- pecificado na LCR delta. Isto ´e, a LCR completa cont´em (no m´ınimo) toda a informa¸c˜ao de revoga¸c˜ao tratada pela LCR base referenciada.

(d) O CRL number da LCR completa ´e menor que o n´umero da LCR delta. Isto ´e, a LCR delta seque a LCR completa na sequˆencia de numera¸c˜ao.

Os emissores de LCR DEVEM garantir que a combina¸c˜ao de uma LCR delta e qualquer LCR completa apropriada refletir´a exatamente a estado de revoga¸c˜ao atual. O emissor de LCR DEVE incluir uma entrada na LCR delta para cada certificado dentro do escopo da LCR delta cujo estado tiver mudado desde a gera¸c˜ao da LCR base referenciada:

(a) Se o certificado est´a revogado por uma raz˜ao inclu´ıda no escopo da LCR, listar o certificado como revogado.

(b) Se o certificado estiver v´alido e estiver listado na LCR base referenciada ou qual- quer LCR subsequente, com o c´odigo raz˜ao certificateHold, e o c´odigo da raz˜ao certificateHold estiver inclu´ıdo no escopo da LCR, listar o certificado com o c´odigo raz˜ao removeFromLCR.

(c) Se o certificado estiver revogado por uma raz˜ao externa ao escopo da LCR, mas o certificado for listado na LCR base referenciada ou qualquer LCR subsequente com o c´odigo raz˜ao incluso no escopo desta LCR, listar o certificado como revogado, mas omitir o c´odigo raz˜ao.

(d) Se o certificado estiver revogado por uma raz˜ao externa ao escopo da LCR e o cer- tificado nao se encontrar listado na LCR base referenciada, nem em qualquer LCR subsequente com a raz˜ao existente no escopo desta LCR, n˜ao listar o certificado nesta LCR.

Ern

an

des

O estado de um certificado ´e considerado modificado se ele estiver revogado (por qualquer raz˜ao, incluindo certificateHold), se ele estiver liberado da suspens˜ao, ou se as raz˜oes de sua revoga¸c˜ao mudarem.

´

E apropriado listar um certificado com c´odigo raz˜ao removeFromCRL na LCR delta mesmo se o certificado n˜ao estiver suspenso na LCR base referenciada. Se o certificado foi colocado em suspens˜ao em qualquer LCR emitida ap´os a LCR base, mas antes desta LCR delta e ent˜ao liberado da suspens˜ao, ele DEVE ser listado na LCR delta com c´odigo de revoga¸c˜ao removeFromCRL.

O emissor de LCR DEVE opcionalmente listar um certificado na LCR delta com c´odigo raz˜ao removeFromCRL se o tempo notAfter especificado no certificado preceder o tempo thisUpdate especificado na LCR delta e o certificado for listado na LCR base referenciada ou em qualquer LCR emitida ap´os a base, mas antes desta LCR delta.

Se um aviso de revoga¸c˜ao de certificado aparecer primeiro na LCR delta, ent˜ao ´e poss´ıvel que o per´ıodo de validade do certificado expire antes da pr´oxima LCR completa, para o mesmo escopo, ser emitida. Neste caso, o aviso de revoga¸c˜ao ´e inclu´ıdo em, no m´ınimo, uma LCR completa emitida explicitamente para este escopo.

Uma aplica¸c˜ao que suporte LCR delta DEVE ser capaz de construir uma LCR completa atualizada, combinando a LCR completa emitida previamente e a LCR delta mais atual. Uma aplica¸c˜ao que suporte LCR delta PODE tamb´em ser capaz de construir uma LCR completa atual pela combina¸c˜ao de uma LCR completa constru´ıda localmente e a LCR delta atual. Uma LCR delta ´e considerada ser a atual se o tempo no momento estiver entre os tempos contidos nos campos thisUpdate e nextUpdate. Sob certas circunstˆancias, o emissor de LCR pode publicar uma ou mais LCRs delta antes do tempo indicado no campo nextUpdate. Se mais de uma LCR delta atual para um mesmo escopo for encontrada, a aplica¸c˜ao DEVERIA considerar aquela com o ´ultimo valor em thisUpdate como sendo a mais atualizada.

id-ce-deltaCRLIndicator OBJECT IDENTIFIER ::= { id-ce 27 }

BaseCRLNumber ::= CRLNumber