RFC3647 descrive la differenza tra un CPS e un CP come segue:
The main differences between CPs and CPSs can therefore be summarized as follows:
- A PKI uses a CP to establish requirements that state what participants within it must do. A single CA or organization can use a CPS to disclose how it meets the requirements of a CP or how it implements its practices and controls.
- A CP facilitates interoperation through cross-certification, unilateral certification, or other means. Therefore, it is intended to cover multiple CAs. By contrast, a CPS is a statement of a single CA or organization. Its purpose is not to facilitate interoperation (since doing so is the function of a CP).
- A CPS is generally more detailed than a CP and specifies how the CA meets the requirements specified in the one or more CPs under which it issues certificates.
C'è una frase che ha senso per me nella spiegazione sopra:
A single CA or organization can use a CPS to disclose how it meets the requirements of a CP
Se ho capito bene, il CP imposta i requisiti generali (ad es. dovresti convalidare la proprietà del dominio prima di emettere un certificato), e il CPS menziona come lo fa in pratica (ad esempio controllando i record DNS per un token). Il CP potrebbe aver già dato quella pratica come esempio.
Quindi, poiché un CP e un CPS sono per lo più scritti dalla stessa CA, non ha molto senso dividerli. Se cito nel CP che la proprietà deve essere convalidata e che ciò potrebbe essere fatto controllando i record DNS per un token, molto probabilmente il CPS conterrà esattamente le stesse informazioni. Potrei essere in grado di capire l'uso di avere sia un CPS che un CP nel caso in cui una CA abbia radici separate, ognuna delle quali potrebbe avere un CPS diverso, basato sullo stesso CP.
Ho confrontato il CPS di Let's Encrypt con il suo CP , e ho scoperto che il CP è un po 'più generico e affronta alcuni argomenti che non sono trattati nel CPS, ma anche il in altro modo.
- Qualcuno può spiegare quale sia il vero valore di avere sia un CPS che un CP è, quando sono scritti dalla stessa CA e se lo farebbe o meno è buona norma scrivere solo un CPS in quel caso?
- Non dovrebbe esserci un CP standard globale, che può essere usato da tutte le CA per basare il proprio CPS?