[Uneex] SSL CRL

Чт Июн 4 13:14:11 MSD 2009

Приветствую всех!

Что-то тихо стало и решил оживить :-)

Возник вопрос по использованию .crl - как по уму пользоваться таким
параметром как время жизни? Как я понимаю, .crl указывает на
отозванные сертификаты. Соответственно, время жизни - это с одной
стороны указание, что данный список является валидным и клиенту не
обязательно спрашивать новый список. С другой стороны (т.е. со стороны
сервера), тот кто отдает этот .crl должен сгенерить и подписать новый.
И как тогда этим пользоваться?

Проблему я вижу в том, что если это время указывать достаточно
большим, то не получиться эффективно отозвать "ненужный" сертификат. А
если делать его маленьким, то значит постоянно генерить этот файл, что
не получается (в нормальных системах) делать автоматически, т.к. .crl
подписывается корневым сертификатом, что не является атоматизируемой
операцией.

Кто-нибудь подскажет, как это делается в нормальных CA.

Спасибо.

-- 
Yuri Ryazantsev <yuri на unix.ru>        | RIPE: YR1-RIPE
Gnu PGP:  1024D/D91BA14E              | RIPN: YAR1-RIPN