Elenco di revoche di certificati

5

Ci sono molti campi su un elenco di revoche di certificati (CRL) come Algoritmo, Parametri, Nome emittente, Questa data di aggiornamento, Data di aggiornamento successivo, Numero di serie del certificato utente, ecc. Mentre capisco lo scopo della maggior parte dei campi, di quale scopo è il campo "prossima data di aggiornamento su un elenco di revoche di certificati?

    
posta 14.04.2014 - 21:17
fonte

1 risposta

8

Oooh, è difficile.

Teoricamente , il campo nextUpdate è pensato per essere una data (futura) in cui una nuova versione aggiornata del CRL dovrebbe essere resa disponibile. L'idea è che se hai un CRL memorizzato nella cache, non c'è motivo di provare a scaricarne uno nuovo prima di quella data.

In "true X.509" ogni parte relying (una "relying party" è "un sistema che tenta di convalidare un certificato") dovrebbe avere una propria politica riguardo a quanti anni può un CRL diventare prima di diventare " troppo vecchio". Tuttavia un RP non può immaginare quando sarà disponibile un nuovo CRL per tutte le possibili CA; usiamo i certificati proprio perché un RP non conosce tutte le possibili CA in anticipo. Da qui il campo nextUpdate che trasmette informazioni sul criterio di aggiornamento della CA.

In pratica , tuttavia, tutti hanno preso nextUpdate come data di scadenza CRL. Quindi il campo nextUpdate significa "non preoccuparti di scaricare un nuovo CRL prima della data T ", tutte le implementazioni della convalida del certificato X.509 considerano "non utilizzare questo CRL oltre la data < em> T ". Non è lo stesso concetto. "True X.509" non gestisce affatto la scadenza CRL, poiché ogni RP dovrebbe applicare la propria politica, ma ciò non funziona nel mondo reale: la CA esistente, sia root che non root, non ha coerenza sufficienti politiche di aggiornamento CRL per rendere praticabile una politica locale RP. Per esempio. alcuni CA aggiorneranno il CRL solo una volta alla settimana, o anche meno, soprattutto per le CA offline; mentre altri pubblicano un nuovo CRL ogni ora.

Dato che tutti usano nextUpdate come data di scadenza CRL, la CA ha adattato e riempie quel campo con questa semantica. Microsoft ha anche definito un'estensione chiamata "Next CRL Publish" (1.3.6.1.4.1.311.21.4) per comunicare le informazioni sulla data di pubblicazione del CRL successiva programmata, ovvero il ruolo storico di nextUpdate (questo è uno specifico di Microsoft estensione, dubito che qualcun altro lo usi).

Una strategia comune per CA consiste nell'utilizzare alcune sovrapposizioni: ad esempio, pubblicano un CRL ogni 24 ore e il campo nextUpdate è impostato su thisUpdate + 36 ore. In questo modo, il nuovo CRL è disponibile 12 ore prima del precedente "scade". La maggior parte dei client si preoccupa di scaricare un nuovo CRL solo se quello che hanno nella propria cache ha il suo nextUpdate "nel passato". Alcuni client (in particolare Windows) scaricheranno il nuovo CRL un po 'di tempo prima il nextUpdate se hanno qualche buona indicazione che un nuovo CRL è effettivamente disponibile, rendendo così il pre-fetch utile (es. perché esiste un'estensione "Next CRL Publish".

    
risposta data 14.04.2014 - 22:00
fonte

Leggi altre domande sui tag