[Uneex] SSL CRL

[uneex]

04.06.09, 17:02, "Ivan Fedorov" <oxyum на oxyum.ru>:

> Yuri Ryazantsev <yuri на unix.ru> writes:
> > 2009/6/4 Ivan Fedorov <oxyum на oxyum.ru>:
> >> Yuri Ryazantsev <yuri на unix.ru> writes:
> >>
> >>> Приветствую всех!
> >>>
> >>> Что-то тихо стало и решил оживить :-)
> >>>
> >>> Возник вопрос по использованию .crl - как по уму пользоваться таким
> >>> параметром как время жизни? Как я понимаю, .crl указывает на
> >>> отозванные сертификаты. Соответственно, время жизни - это с одной
> >>> стороны указание, что данный список является валидным и клиенту не
> >>> обязательно спрашивать новый список. С другой стороны (т.е. со стороны
> >>> сервера), тот кто отдает этот .crl должен сгенерить и подписать новый.
> >>> И как тогда этим пользоваться?
> >>>
> >>> Проблему я вижу в том, что если это время указывать достаточно
> >>> большим, то не получиться эффективно отозвать "ненужный" сертификат. А
> >>> если делать его маленьким, то значит постоянно генерить этот файл, что
> >>> не получается (в нормальных системах) делать автоматически, т.к. .crl
> >>> подписывается корневым сертификатом, что не является атоматизируемой
> >>> операцией.
> >>>
> >>> Кто-нибудь подскажет, как это делается в нормальных CA.
> >> В нормальных наверное через OCSP? :)
> >
> > Да я не спрашиваю про замену CRL, а про то как его нормально
> > поддерживать :-) Есть еще целая туча приложений, которые его
> > используют. Когда все станут поддерживать OCSP - вопрос отпадет. А
> > пока он есть :-)
> А никак особо, то есть если вы хотите безопасно, то вы должны
> перегенерировать CRL руками не реже чем в 24 часа, а лучше даже сильно
> чаще, после чего носить его на "доверенном" носителе информации в
> основную сеть. Лучше всего использовать односессионные чистые
> CD-R. Тогда точно ничего лишнего не попадёт в машину с CA :)
> А так сделайте какую-нить машинку в которой будет нешифрованный CA-cert
> в оперативе, и пусть она каждые 30 минут пересоздаёт CRL и куда-нить его
> выплёвывает. Ну и зарезать все внешние способы подключения (включая
> SSH). SSH на крайний случай можно закрыть хотя бы через SPA (Single
> Packet Authorization). Я пользовался http://www.cipherdyne.org/fwknop/.
В последней версии OpenCA есть автовыписывальщик, но честно говоря поделка - монсторподобная.
Все зависит от сроков выписывания сертификатов. Главное чтобы CRL не стал очень большим, т.к. его качают все и часто.
Скажем при сроке действия сертификатов - 1 год (и кол-ве сертификатов до 1000). CRL на месяц вполне нормальный подход. (вроде RFC3280)
В идеале же есть: Delta-CRL, но пока свободных реализаций - не особо видно.

Тема - интересует. Если кому есть что сказать - с удовольствием пообщаюсь ;)