x.509 CRL: prossimo aggiornamento?

Naviga le tue risposte
5

Un elenco di revoche di certificati X.509 contiene un campo che specifica quando verrà pubblicato il successivo elenco di questo tipo. Sto cercando di capire l'importanza di questo campo ... So che a volte i certificati vengono inseriti in un elenco "non utilizzare" e questo deve essere aggiornato costantemente. Ma mi sento anche come l'aggiornamento CRL su base regolare, quindi qual è il punto di avere questo campo comunque? Perché non usare solo un programma fisso?

    
posta SwaroopGiwali 02.10.2012 - 12:58
fonte

2 risposte

7

Ci sono due semantica distinta che il campo nextUpdate è usato per trasmettere:

  1. la data in cui dovrebbe essere disponibile un CRL più recente, vale a dire un nuovo download (analogamente, prima della data indicata nel campo nextUpdate , un CRL memorizzato nella cache dovrebbe essere considerato il più recente);
  2. la data dopo la quale un determinato CRL deve essere considerato obsoleto.

Si prevede che il CRL si sovrapponga, in modo tale che le transizioni siano fluide e il traffico di rete diffuso durante il giorno. In genere, una CA produrrebbe un nuovo CRL ogni ora (in modo che siano disponibili nuove informazioni) ma "consentirebbe" un determinato CRL di essere valido per un giorno (24 ore). Poiché un CRL può essere piuttosto grande, scaricarlo è costoso, quindi le implementazioni preferirebbero non farlo troppo spesso se non ha un uso pratico. Ma poiché ogni CA ha una propria politica, un validatore di certificati generici non può sapere a priori quale tipo di programma utilizza una determinata CA; deve apprenderlo attraverso i dati nei certificati e nel CRL.

Il primo significato è ciò che X.509 richiede. Tuttavia, tutti lo usano con il secondo significato. In effetti, le implementazioni di X.509 (ad esempio nei browser Web, quando convalidano il certificato di un server Web) gestiscono nextUpdate come se fosse una data endOfValidity . Ultimamente, Microsoft ha definito una nuova estensione chiamata nextPublish che assume il primo significato (l'estensione può essere vista nell'allegato A.1 di questa bozza , in un contesto OCSP). Questa estensione (che sembra essere, finora, privata di Microsoft, non standard) in qualche modo riconosce che la pratica comune si discosta dalla teoria per quanto riguarda il significato di nextUpdate .

    
risposta data 02.10.2012 - 13:24
fonte
3

È usato per una serie di motivi:

  • Consente un recupero più ottimale dei CRL da un servizio basato su pull come HTTP, in modo che i tempi di interrogazione possano essere configurati su base per-risposta.
  • Consente la selezione di download CRL diff-based e completi, dal momento che si presuppone che un CRL visualizzato o successivo al prossimo aggiornamento sia un aggiornamento regolare, mentre un aggiornamento appare prima il successivo si presume che l'aggiornamento sia una patch di sicurezza, quindi l'intero CRL viene sostituito nella cache locale.
  • Consente di tagliare i CRL dopo la scadenza del certificato, senza dover premere un nuovo CRL. Questo viene fatto rimuovendo automaticamente la voce CRL sul primo aggiornamento regolare (cioè il prossimo tempo di aggiornamento) dopo che il certificato è scaduto.

Vedi la sezione 5.1.2.5 di RFC3280 per ulteriori informazioni.

    
risposta data 02.10.2012 - 13:07
fonte

Leggi altre domande sui tag

Kerberos per l'invio di segreti Come "dimostrare" un attacco man-in-the-middle?