RFC3647 describe la diferencia entre un CPS y un CP de la siguiente manera:
Por lo tanto, las principales diferencias entre CP y CPS pueden resumirse como sigue:
- Una PKI usa un CP para establecer requisitos que establecen qué deben hacer los participantes dentro de ella. Una sola CA u organización puede usar un CPS para revelar cómo cumple con los requisitos de un CP o cómo implementa sus prácticas y controles.
- Un CP facilita la interoperación mediante certificación cruzada, certificación unilateral u otros medios. Por lo tanto, está destinado a cubrir múltiples CAs. Por el contrario, un CPS es una declaración de una única CA u organización. Su propósito no es facilitar la interoperación (ya que hacerlo es la función de un PC).
- Una CPS es generalmente más detallada que una CP y especifica cómo la CA cumple los requisitos especificados en la una o más CP bajo las cuales emite certificados.
Hay una oración que tiene sentido para mí en la explicación anterior:
Una sola CA u organización puede usar un CPS para revelar cómo cumple con la requisitos de un CP
Si entiendo eso correctamente, el CP establece los requisitos generales (por ejemplo, debe validar la propiedad del dominio antes de emitir un certificado), y el CPS menciona cómo lo hace en la práctica (por ejemplo, al verificar los registros de DNS en busca de un token). El PC podría incluso haber dado esa práctica como ejemplo ya.
Entonces, como un CP y un CPS están en su mayoría escritos por la misma CA, no tiene mucho sentido para mí dividirlos. Si menciono en el CP que la propiedad debe ser validada y que esto podría hacerse revisando los registros DNS en busca de un token, entonces el CPS probablemente contendrá exactamente la misma información. Podría ser capaz de entender el uso de tener un CPS y un CP en caso de que una CA tenga raíces separadas, cada una de las cuales podría tener un CPS diferente, basado en el mismo CP.
Comparé el CPS de Let's Encrypt con su CP , y encontré que el CP es un poco más genérico y aborda algunos temas que no se tratan en el CPS, pero también el otro camino alrededor.
- ¿Puede alguien explicar cuál es el valor real de tener un CPS y un CP? es, cuando están escritos por la misma CA, y si sería o no ¿Sería una buena práctica escribir solo un CPS en ese caso?
- ¿No debería haber un CP estándar global, que todas las CA puedan usar para basar su CPS?