[Uneex] SSL CRL

Ivan Fedorov oxyum oxyum.ru
4 17:02:45 MSD 2009


Yuri Ryazantsev <yuri  unix.ru> writes:

> 2009/6/4 Ivan Fedorov <oxyum  oxyum.ru>:
>> Yuri Ryazantsev <yuri  unix.ru> writes:
>>
>>> Приветствую всех!
>>>
>>> Что-то тихо стало и решил оживить :-)
>>>
>>> Возник вопрос по использованию .crl - как по уму пользоваться таким
>>> параметром как время жизни? Как я понимаю, .crl указывает на
>>> отозванные сертификаты. Соответственно, время жизни - это с одной
>>> стороны указание, что данный список является валидным и клиенту не
>>> обязательно спрашивать новый список. С другой стороны (т.е. со стороны
>>> сервера), тот кто отдает этот .crl должен сгенерить и подписать новый.
>>> И как тогда этим пользоваться?
>>>
>>> Проблему я вижу в том, что если это время указывать достаточно
>>> большим, то не получиться эффективно отозвать "ненужный" сертификат. А
>>> если делать его маленьким, то значит постоянно генерить этот файл, что
>>> не получается (в нормальных системах) делать автоматически, т.к. .crl
>>> подписывается корневым сертификатом, что не является атоматизируемой
>>> операцией.
>>>
>>> Кто-нибудь подскажет, как это делается в нормальных CA.
>> В нормальных наверное через OCSP? :)
>
> Да я не спрашиваю про замену CRL, а про то как его нормально
> поддерживать :-) Есть еще целая туча приложений, которые его
> используют. Когда все станут поддерживать OCSP - вопрос отпадет. А
> пока он есть :-)

А никак особо, то есть если вы хотите безопасно, то вы должны
перегенерировать CRL руками не реже чем в 24 часа, а лучше даже сильно
чаще, после чего носить его на "доверенном" носителе информации в
основную сеть. Лучше всего использовать односессионные чистые
CD-R. Тогда точно ничего лишнего не попадёт в машину с CA :)

А так сделайте какую-нить машинку в которой будет нешифрованный CA-cert
в оперативе, и пусть она каждые 30 минут пересоздаёт CRL и куда-нить его
выплёвывает. Ну и зарезать все внешние способы подключения (включая
SSH). SSH на крайний случай можно закрыть хотя бы через SPA (Single
Packet Authorization). Я пользовался http://www.cipherdyne.org/fwknop/.
-----------   -----------
Вложение не в текстовом формате было извлечено&hellip;
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 196 байтов
Описание: отсутствует
Url     : https://imap.cs.msu.su/pipermail/uneex/attachments/20090604/ca7ed24e/attachment.pgp 


Uneex