[Uneex] SSL CRL

Ivan Fedorov oxyum oxyum.ru
4 15:28:10 MSD 2009 

Yuri Ryazantsev <yuri  unix.ru> writes:

> Приветствую всех!
>
> Что-то тихо стало и решил оживить :-)
>
> Возник вопрос по использованию .crl - как по уму пользоваться таким
> параметром как время жизни? Как я понимаю, .crl указывает на
> отозванные сертификаты. Соответственно, время жизни - это с одной
> стороны указание, что данный список является валидным и клиенту не
> обязательно спрашивать новый список. С другой стороны (т.е. со стороны
> сервера), тот кто отдает этот .crl должен сгенерить и подписать новый.
> И как тогда этим пользоваться?
>
> Проблему я вижу в том, что если это время указывать достаточно
> большим, то не получиться эффективно отозвать "ненужный" сертификат. А
> если делать его маленьким, то значит постоянно генерить этот файл, что
> не получается (в нормальных системах) делать автоматически, т.к. .crl
> подписывается корневым сертификатом, что не является атоматизируемой
> операцией.
>
> Кто-нибудь подскажет, как это делается в нормальных CA.
В нормальных наверное через OCSP? :)
-----------   -----------
Вложение не в текстовом формате было извлечено&hellip;
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 196 байтов
Описание: отсутствует
Url     : https://imap.cs.msu.su/pipermail/uneex/attachments/20090604/15b7e148/attachment.pgp

Uneex