[Uneex] SSL CRL

Yuri Ryazantsev yuri на unix.ru
Чт Июн 4 16:13:58 MSD 2009


2009/6/4 Ivan Fedorov <oxyum на oxyum.ru>:
> Yuri Ryazantsev <yuri на unix.ru> writes:
>
>> Приветствую всех!
>>
>> Что-то тихо стало и решил оживить :-)
>>
>> Возник вопрос по использованию .crl - как по уму пользоваться таким
>> параметром как время жизни? Как я понимаю, .crl указывает на
>> отозванные сертификаты. Соответственно, время жизни - это с одной
>> стороны указание, что данный список является валидным и клиенту не
>> обязательно спрашивать новый список. С другой стороны (т.е. со стороны
>> сервера), тот кто отдает этот .crl должен сгенерить и подписать новый.
>> И как тогда этим пользоваться?
>>
>> Проблему я вижу в том, что если это время указывать достаточно
>> большим, то не получиться эффективно отозвать "ненужный" сертификат. А
>> если делать его маленьким, то значит постоянно генерить этот файл, что
>> не получается (в нормальных системах) делать автоматически, т.к. .crl
>> подписывается корневым сертификатом, что не является атоматизируемой
>> операцией.
>>
>> Кто-нибудь подскажет, как это делается в нормальных CA.
> В нормальных наверное через OCSP? :)

Да я не спрашиваю про замену CRL, а про то как его нормально
поддерживать :-) Есть еще целая туча приложений, которые его
используют. Когда все станут поддерживать OCSP - вопрос отпадет. А
пока он есть :-)

-- 
Yuri Ryazantsev <yuri на unix.ru>        | RIPE: YR1-RIPE
Gnu PGP:  1024D/D91BA14E              | RIPN: YAR1-RIPN



Подробная информация о списке рассылки Uneex