Controllo di revoca certificato SSL

Question

Controllo di revoca certificato SSL

Naviga le tue risposte

#1 da (14 voti)
#2 da (9 voti)

11

Nel protocollo SSL non vedo dove viene controllato lo stato di revoca del certificato.

link

Il certificato di revoca e controllo dello stato non è implementato nel protocollo SSL?

cryptography public-key-infrastructure tls certificates

posta user1157 24.01.2011 - 06:10

fonte

2 risposte

Leggi altre domande sui tag cryptography public-key-infrastructure tls certificates

Come dimostrare l'iniezione SQL? Una buona pratica di black list sull'indirizzo IP impedisce gli attacchi ai siti web?

score 14 · Answer 1

Il protocollo SSL specifica il modo in cui un server invia il suo certificato al client. Il client deve quindi "ottenere" la chiave pubblica del server convalidando il certificato. La specifica SSL non descrive la convalida del certificato; per questo, devi guardare X.509 , in cui vedrai che è un processo molto più complesso di quello è descritto nel documento a cui ti colleghi.

Il controllo dello stato di revoca fa parte della convalida del certificato. Il cliente è effettivamente libero di farlo nel modo che ritiene opportuno; molti browser web "controllano" lo stato di revoca tramite un processo che va come "mmhh ... probabilmente non è revocato in ogni caso, non c'è bisogno di controllare nulla". Nel mondo X.509, lo stato di revoca può essere accertato scaricando e convalidando gli elenchi di revoche certificati (Certificate Revocation List) o ottenendo risposte OCSP dai risponditori OCSP (una risposta OCSP è una sorta di CRL ridotta a un singolo certificato di destinazione). In teoria, lo stato di revoca dovrebbe essere ottenuto per tutti i certificati, vale a dire il certificato del server ma anche i certificati CA intermedi utilizzati per convalidare i certificati del server e tutti gli altri certificati utilizzati per convalidare le risposte CRL e OCSP (questo può diventare altamente ricorsivo). Il costo aggregato (soprattutto nei tempi di download) può diventare proibitivo, motivo per cui molti clienti si affidano a un modello più debole ma più veloce (ad esempio, controllando lo stato solo per il certificato del server stesso, non per la CA intermedia o per il mancato controllo dello stato). / p>

Ad ogni modo, la validazione è come si ottiene la chiave pubblica del server, quindi avviene durante l'handshake SSL, proprio prima che il client ClientExchange messaggio venga inviato dal client.

score 9 · Answer 2

Ci sono due modi per controllare lo stato di un certificato:

CRL (elenco di revoche di certificati) ;
OCSP (Online Status Status Protocol) (e l'alternativa metodo di pinzatura OCSP ).

Nessuno di questi è specifico per SSL, e fanno proprio questo: controlla lo stato di un certificato. Quindi entrambi si applicano a tutto ciò che utilizza i certificati.