home *** CD-ROM | disk | FTP | other *** search
/ Internet Core Protocols / Oreilly-InternetCoreProtocols.iso / RFCs / rfc2585.txt < prev    next >
Encoding:
Text File  |  1999-10-14  |  14.9 KB  |  452 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                        R. Housley
  8. Request for Comments: 2585                                       SPYRUS
  9. Category: Standards Track                                    P. Hoffman
  10.                                                                     IMC
  11.                                                                May 1999
  12.  
  13.  
  14.                 Internet X.509 Public Key Infrastructure
  15.                   Operational Protocols: FTP and HTTP
  16.  
  17. Status of this Memo
  18.  
  19.    This document specifies an Internet standards track protocol for the
  20.    Internet community, and requests discussion and suggestions for
  21.    improvements.  Please refer to the current edition of the "Internet
  22.    Official Protocol Standards" (STD 1) for the standardization state
  23.    and status of this protocol.  Distribution of this memo is unlimited.
  24.  
  25. Copyright Notice
  26.  
  27.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  28.  
  29. Abstract
  30.  
  31.    The protocol conventions described in this document satisfy some of
  32.    the operational requirements of the Internet Public Key
  33.    Infrastructure (PKI).  This document specifies the conventions for
  34.    using the File Transfer Protocol (FTP) and the Hypertext Transfer
  35.    Protocol (HTTP) to obtain certificates and certificate revocation
  36.    lists (CRLs) from PKI repositories.  Additional mechanisms addressing
  37.    PKIX operational requirements are specified in separate documents.
  38.  
  39. 1  Introduction
  40.  
  41.    This specification is part of a multi-part standard for the Internet
  42.    Public Key Infrastructure (PKI) using X.509 certificates and
  43.    certificate revocation lists (CRLs).  This document specifies the
  44.    conventions for using the File Transfer Protocol (FTP) and the
  45.    Hypertext Transfer Protocol (HTTP) to obtain certificates and CRLs
  46.    from PKI repositories.  Additional mechanisms addressing PKI
  47.    repository access are specified in separate documents.
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Housley & Hoffman           Standards Track                     [Page 1]
  59.  
  60. RFC 2585       PKIX Operational Protocols:  FTP and HTTP        May 1999
  61.  
  62.  
  63. 1.1. Model
  64.  
  65.    The following is a simplified view of the architectural model assumed
  66.    by the Internet PKI specifications.
  67.  
  68.       +---+
  69.       | C |                       +------------+
  70.       | e | <-------------------->| End entity |
  71.       | r |       Operational     +------------+
  72.       | t |       transactions          ^
  73.       |   |      and management         |  Management
  74.       | / |       transactions          |  transactions
  75.       |   |                             |                PKI users
  76.       | C |                             v
  77.       | R |       -------------------+--+-----------+-----------------
  78.       | L |                          ^              ^
  79.       |   |                          |              |   PKI management
  80.       |   |                          v              |       entities
  81.       | R |                       +------+          |
  82.       | e | <---------------------| RA   | <---+    |
  83.       | p |  Publish certificate  +------+     |    |
  84.       | o |                                    |    |
  85.       | s |                                    |    |
  86.       | I |                                    v    v
  87.       | t |                                +------------+
  88.       | o | <------------------------------|     CA     |
  89.       | r |   Publish certificate          +------------+
  90.       | y |   Publish CRL                         ^
  91.       |   |                                       |
  92.       +---+                        Management     |
  93.                                    transactions   |
  94.                                                   v
  95.                                               +------+
  96.                                               |  CA  |
  97.                                               +------+
  98.  
  99.    The components in this model are:
  100.  
  101.    End Entity:  user of PKI certificates and/or end user system that is
  102.                 the subject of a certificate;
  103.  
  104.    CA:          certification authority;
  105.  
  106.    RA:          registration authority, i.e., an optional system to
  107.                 which a CA delegates certain management functions;
  108.  
  109.  
  110.  
  111.  
  112.  
  113.  
  114. Housley & Hoffman           Standards Track                     [Page 2]
  115.  
  116. RFC 2585       PKIX Operational Protocols:  FTP and HTTP        May 1999
  117.  
  118.  
  119.    Repository:  a system or collection of distributed systems that store
  120.                 certificates and CRLs and serves as a means of
  121.                 distributing these certificates and CRLs to end
  122.                 entities.
  123.  
  124. 1.2.  Certificate and CRL Repository
  125.  
  126.    Some CAs mandate the use of on-line validation services, while others
  127.    distribute CRLs to allow certificate users to perform certificate
  128.    validation themselves.  In general, CAs make CRLs available to
  129.    certificate users by publishing them in the Directory.  The Directory
  130.    is also the normal distribution mechanism for certificates.  However,
  131.    Directory Services are not available in many parts of the Internet
  132.    today. The File Transfer Protocol (FTP) defined in RFC 959 and the
  133.    Hypertext Transfer Protocol (HTTP) defined in RFC 2068 offer
  134.    alternate methods for certificate and CRL distribution.
  135.  
  136.    End entities and CAs may retrieve certificates and CRLs from the
  137.    repository using FTP or HTTP.  End entities may publish their own
  138.    certificate in the repository using FTP or HTTP, and RAs and CAs may
  139.    publish certificates and CRLs in the repository using FTP or HTTP.
  140.  
  141. 2  FTP Conventions
  142.  
  143.    Within certificate extensions and CRL extensions, the URI form of
  144.    GeneralName is used to specify the location where issuer certificates
  145.    and CRLs may be obtained.  For instance, a URI identifying the
  146.    subject of a certificate may be carried in subjectAltName certificate
  147.    extension. An IA5String describes the use of anonymous FTP to fetch
  148.    certificate or CRL information.  For example:
  149.  
  150.       ftp://ftp.netcom.com/sp/spyrus/housley.cer
  151.       ftp://ftp.your.org/pki/id48.cer
  152.       ftp://ftp.your.org/pki/id48.no42.crl
  153.  
  154.    Internet users may publish the URI reference to a file that contains
  155.    their certificate on their business card.  This practice is useful
  156.    when there is no Directory entry for that user.  FTP is widely
  157.    deployed, and anonymous FTP are accommodated by many firewalls.
  158.    Thus, FTP is an attractive alternative to Directory access protocols
  159.    for certificate and CRL distribution.  While this service satisfies
  160.    the requirement to retrieve information related to a certificate
  161.    which is already identified by a URI, it is not intended to satisfy
  162.    the more general problem of finding a certificate for a user about
  163.    whom some other information, such as their electronic mail address or
  164.    corporate affiliation, is known.
  165.  
  166.  
  167.  
  168.  
  169.  
  170. Housley & Hoffman           Standards Track                     [Page 3]
  171.  
  172. RFC 2585       PKIX Operational Protocols:  FTP and HTTP        May 1999
  173.  
  174.  
  175.    For convenience, the names of files that contain certificates should
  176.    have a suffix of ".cer".  Each ".cer" file contains exactly one
  177.    certificate, encoded in DER format.  Likewise, the names of files
  178.    that contain CRLs should have a suffix of ".crl".  Each ".crl" file
  179.    contains exactly one CRL, encoded in DER format.
  180.  
  181. 3  HTTP Conventions
  182.  
  183.    Within certificate extensions and CRL extensions, the URI form of
  184.    GeneralName is used to specify the location where issuer certificates
  185.    and CRLs may be obtained.  For instance, a URI identifying the
  186.    subject of a certificate may be carried in subjectAltName certificate
  187.    extension. An IA5String describes the use of HTTP to fetch
  188.    certificate or CRL information.  For example:
  189.  
  190.       http://www.netcom.com/sp/spyrus/housley.cer
  191.       http://www.your.org/pki/id48.cer
  192.       http://www.your.org/pki/id48.no42.crl
  193.  
  194.    Internet users may publish the URI reference to a file that contains
  195.    their certificate on their business card.  This practice is useful
  196.    when there is no Directory entry for that user.  HTTP is widely
  197.    deployed, and HTTP is accommodated by many firewalls.  Thus, HTTP is
  198.    an attractive alternative to Directory access protocols for
  199.    certificate and CRL distribution.  While this service satisfies the
  200.    requirement to retrieve information related to a certificate which is
  201.    already identified by a URI, it is not intended to satisfy the more
  202.    general problem of finding a certificate for a user about whom some
  203.    other information, such as their electronic mail address or corporate
  204.    affiliation, is known.
  205.  
  206.    For convenience, the names of files that contain certificates should
  207.    have a suffix of ".cer".  Each ".cer" file contains exactly one
  208.    certificate, encoded in DER format.  Likewise, the names of files
  209.    that contain CRLs should have a suffix of ".crl".  Each ".crl" file
  210.    contains exactly one CRL, encoded in DER format.
  211.  
  212. 4  MIME registrations
  213.  
  214.    Two MIME types are defined to support the transfer of certificates
  215.    and CRLs.  They are:
  216.  
  217.       application/pkix-cert
  218.       application/pkix-crl
  219.  
  220.  
  221.  
  222.  
  223.  
  224.  
  225.  
  226. Housley & Hoffman           Standards Track                     [Page 4]
  227.  
  228. RFC 2585       PKIX Operational Protocols:  FTP and HTTP        May 1999
  229.  
  230.  
  231. 4.1. application/pkix-cert
  232.  
  233.    To: ietf-types@iana.org
  234.    Subject: Registration of MIME media type application/pkix-cert
  235.  
  236.    MIME media type name: application
  237.  
  238.    MIME subtype name: pkix-cert
  239.  
  240.    Required parameters: None
  241.  
  242.    Optional parameters: version (default value is "1")
  243.  
  244.    Encoding considerations: will be none for 8-bit transports and most
  245.    likely Base64 for SMTP or other 7-bit transports
  246.  
  247.    Security considerations: Carries a cryptographic certificate
  248.  
  249.    Interoperability considerations: None
  250.  
  251.    Published specification: draft-ietf-pkix-ipki-part1
  252.  
  253.    Applications which use this media type: Any MIME-complaint transport
  254.  
  255.    Additional information:
  256.      Magic number(s): None
  257.      File extension(s): .CER
  258.      Macintosh File Type Code(s): none
  259.  
  260.    Person & email address to contact for further information:
  261.    Russ Housley <housley@spyrus.com>
  262.  
  263.    Intended usage: COMMON
  264.  
  265.    Author/Change controller:
  266.    Russ Housley <housley@spyrus.com>
  267.  
  268. 4.2. application/pkix-crl
  269.  
  270.    To: ietf-types@iana.org
  271.    Subject: Registration of MIME media type application/pkix-crl
  272.  
  273.    MIME media type name: application
  274.  
  275.    MIME subtype name: pkix-crl
  276.  
  277.    Required parameters: None
  278.  
  279.  
  280.  
  281.  
  282. Housley & Hoffman           Standards Track                     [Page 5]
  283.  
  284. RFC 2585       PKIX Operational Protocols:  FTP and HTTP        May 1999
  285.  
  286.  
  287.    Optional parameters: version (default value is "1")
  288.  
  289.    Encoding considerations: will be none for 8-bit transports and most
  290.    likely Base64 for SMTP or other 7-bit transports
  291.  
  292.    Security considerations: Carries a cryptographic certificate
  293.    revocation list
  294.  
  295.    Interoperability considerations: None
  296.  
  297.    Published specification: draft-ietf-pkix-ipki-part1
  298.  
  299.    Applications which use this media type: Any MIME-complaint transport
  300.  
  301.    Additional information:
  302.      Magic number(s): None
  303.      File extension(s): .CRL
  304.      Macintosh File Type Code(s): none
  305.  
  306.    Person & email address to contact for further information:
  307.    Russ Housley <housley@spyrus.com>
  308.  
  309.    Intended usage: COMMON
  310.  
  311.    Author/Change controller:
  312.    Russ Housley <housley@spyrus.com>
  313.  
  314. References
  315.  
  316.    [RFC 959]   Postel, J. and J. Reynolds, "File Transfer Protocol (FTP)",
  317.                STD 5, RFC 959, October 1985.
  318.  
  319.    [RFC 1738]  Berners-Lee, T., Masinter, L. and M. McCahill, "Uniform
  320.                Resource Locators (URL)", RFC 1738, December 1994.
  321.  
  322.    [RFC 2068]  Fielding, R., Gettys, J., Mogul, J., Frystyk, H. and
  323.                T. Berners-Lee; "Hypertext Transfer Protocol -- HTTP/1.1",
  324.                RFC 2068, January 1997.
  325.  
  326. Security Considerations
  327.  
  328.    Since certificates and CRLs are digitally signed, no additional
  329.    integrity service is necessary.  Neither certificates nor CRLs need
  330.    be kept secret, and anonymous access to certificates and CRLs is
  331.    generally acceptable.  Thus, no privacy service is necessary.
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338. Housley & Hoffman           Standards Track                     [Page 6]
  339.  
  340. RFC 2585       PKIX Operational Protocols:  FTP and HTTP        May 1999
  341.  
  342.  
  343.    HTTP caching proxies are common on the Internet, and some proxies do
  344.    not check for the latest version of an object correctly. If an HTTP
  345.    request for a certificate or CRL goes through a misconfigured or
  346.    otherwise broken proxy, the proxy may return an out-of-date response.
  347.  
  348.    Operators of FTP sites and World Wide Web servers should authenticate
  349.    end entities who publish certificates as well as CAs and RAs who
  350.    publish certificates and CRLs.  However, authentication is not
  351.    necessary to retrieve certificates and CRLs.
  352.  
  353. Authors' Addresses
  354.  
  355.    Russell Housley
  356.    SPYRUS
  357.    381 Elden Street, Suite 1120
  358.    Herndon, VA 20170 USA
  359.  
  360.    EMail: housley@spyrus.com
  361.  
  362.  
  363.    Paul Hoffman
  364.    Internet Mail Consortium
  365.    127 Segre Place
  366.    Santa Cruz, CA 95060 USA
  367.  
  368.    EMail: phoffman@imc.org
  369.  
  370.  
  371.  
  372.  
  373.  
  374.  
  375.  
  376.  
  377.  
  378.  
  379.  
  380.  
  381.  
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. Housley & Hoffman           Standards Track                     [Page 7]
  395.  
  396. RFC 2585       PKIX Operational Protocols:  FTP and HTTP        May 1999
  397.  
  398.  
  399. Full Copyright Statement
  400.  
  401.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  402.  
  403.    This document and translations of it may be copied and furnished to
  404.    others, and derivative works that comment on or otherwise explain it
  405.    or assist in its implementation may be prepared, copied, published
  406.    and distributed, in whole or in part, without restriction of any
  407.    kind, provided that the above copyright notice and this paragraph are
  408.    included on all such copies and derivative works.  However, this
  409.    document itself may not be modified in any way, such as by removing
  410.    the copyright notice or references to the Internet Society or other
  411.    Internet organizations, except as needed for the purpose of
  412.    developing Internet standards in which case the procedures for
  413.    copyrights defined in the Internet Standards process must be
  414.    followed, or as required to translate it into languages other than
  415.    English.
  416.  
  417.    The limited permissions granted above are perpetual and will not be
  418.    revoked by the Internet Society or its successors or assigns.
  419.  
  420.    This document and the information contained herein is provided on an
  421.    "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
  422.    TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
  423.    BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
  424.    HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
  425.    MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
  426.  
  427. Acknowledgement
  428.  
  429.    Funding for the RFC Editor function is currently provided by the
  430.    Internet Society.
  431.  
  432.  
  433.  
  434.  
  435.  
  436.  
  437.  
  438.  
  439.  
  440.  
  441.  
  442.  
  443.  
  444.  
  445.  
  446.  
  447.  
  448.  
  449.  
  450. Housley & Hoffman           Standards Track                     [Page 8]
  451.  
  452.