AS3
Applicability Statement 3. Le profil de transport FTP de la famille AS, avec sécurisation S/MIME et accusé MDN. Adoption marginale.
Définition
AS3 est défini par la RFC 4823 (avril 2007), FTP Transport for Secure Peer-to-Peer Business Data Interchange over the Internet. Son principe :
- La charge utile EDI (EDIFACT, X12, XML) est encapsulée en S/MIME — typiquement
application/pkcs7-mimesignée et chiffrée (PKCS #7 / CMS). - Le message S/MIME est déposé sur un serveur FTP (ou FTPS / SFTP, AS3 admet les trois variantes selon configuration).
- Un Message Disposition Notification (MDN) est retourné, qui peut être synchrone ou asynchrone.
- La preuve de non-répudiation provient du MDN signé qui transporte le MIC (Message Integrity Check) du message d'origine — exactement comme en AS2.
Origine
AS3 nait fin 2007 dans la même série IETF EDIINT que AS1 (RFC 3335, SMTP) et AS2 (RFC 4130, HTTP/S). L'objectif : offrir une alternative FTP-friendly à AS2 pour les organisations dont l'infrastructure restait centrée sur des serveurs FTP. En pratique, l'adoption est restée confidentielle : AS2 domine le marché internet EDI, et la migration vers AS4 (depuis 2015 en PEPPOL) absorbe la demande de modernisation. AS3 survit dans certaines verticales de la pharmacie nord-américaine et de la grande distribution.
Exemple en contexte
Une chaîne pharmaceutique américaine envoie une commande EDIFACT à un fabricant. Le partenaire impose AS3. L'expéditeur empaquette le message EDIFACT en S/MIME signé+chiffré, dépose le fichier .pkcs7 sur le serveur FTPS de l'opérateur tiers. Le fabricant le récupère, vérifie la signature, déchiffre, traite, puis dépose un MDN signé en retour sur le serveur FTPS de l'émetteur. La preuve de non-répudiation est l'archive du couple {` message, MDN signé `}.