Таблица 4.6.2.6. Верификация сертификатов
Шаг |
Действие |
1 |
Верифицировать каждый сертификат в цепи согласно правилам X.509 |
2 |
Проверить то, что расширения KeyUsage, CertificatePolicies, PriviteKeyUsage и AuthorityKeyIdentifier находятся в согласии c Х.509. |
3 |
Если получено новое значение BCI: а. Проверить его подпись, используя сертификат CRL центра сертификации платежной системы б. Проверить, что BrandName в BCI соответствует тому, что проверено в цепочке сертификации в. Проверить, что дата NotAfter меньше текущей даты г. Проверить SequenceNum. Если оно больше чем SequenceNum из кэша BCI запомнить BCI и проверить, что все CRL, содержащиеся в BCI находятся в кэше CRL. Запомнить любой CRL, который пока нет в кэше |
4 |
Провести верификацию для каждого нового полученного CRL, |
5 |
Проверить каждый сертификат |
4.6.2.1.1. Оттиски (Thumbprints)
Оттиски определяются путем вычисления хэш функции SHA-1, следуя кодировке DER ASN.1 структур:
Оттиск является тем же самым хэшем, который используется для подписи, верификации, CRL или BCI. Оттиски посылаются в сообщениях-запросах SET и могут игнорироваться получателем. Отправитель не обязан посылать все оттиски для всех сертификатов, CRL и BCI, имеющимся в его кэше, а только те, которые имеют отношение к конкретной паре сообщений запрос/отклик. Например, программа продавца не обязана посылать оттиски для всех держателей карт или всем платежным системам. Процедура отправки оттиска представлена в таблице 4.6.2.7.