Cosa fare con i certificati scaduti come CA?

Naviga le tue risposte
4

Questo e questa risposta dice che" una volta scaduto un certificato, la CA cessa di tenere traccia del suo stato di revoca ".

Sto cercando di capire come OpenSSL funziona come una CA. Se ho un certificato scaduto revocato nel mio index.txt, questo certificato non viene automaticamente escluso durante la generazione di un CRL.

Quindi le mie domande sono:

Come faccio a impedire che i certificati scaduti appaiano nel CRL?

  • Devo cancellare tutti i miei certificati scaduti completamente?
  • In caso affermativo: devo modificare manualmente index.txt per rimuoverlo dal database? (Non riesco a trovare alcun argomento per openssl ca che elimina i certificati dal database)
posta Stian Fauskanger 09.07.2013 - 11:50
fonte

2 risposte

8

La documentazione non ne parla, ma uno sguardo al Il codice sorgente OpenSSL , nel file apps/ca.c , sembra indicare che l'opzione della riga di comando -updatedb attiverà un'asportazione del database index.txt , conversione dei certificati scaduti nello stato "scaduto", che sostituisce il precedente stato "revocato" o "non revocato".

(OpenSSL non è la migliore documentazione dei pacchetti software, specialmente per gli strumenti da riga di comando. La lettura del codice sorgente è spesso necessaria.)

    
risposta data 09.07.2013 - 13:38
fonte
1

Non vedo alcun motivo per cui non è possibile eliminarli manualmente e rimuovere qualsiasi record di loro sia stato creato. Non sono sicuro che ci sia un modo automatico o meno. Il punto di tenere un elenco di loro è che qualcuno deve essere in grado di verificare se il certificato è valido. Se hanno una data valida, allora sapranno che non è più valida a prescindere dal fatto che sia stata revocata prima della scadenza. L'unica cosa che lascerebbe il CRL è che qualcuno con un orologio difettoso saprebbe comunque che è scaduto fino a quando è in grado di ottenere effettivamente il CRL.

    
risposta data 09.07.2013 - 17:09
fonte

Leggi altre domande sui tag

In che modo YouTube impedisce la pirateria automatica? Posso proteggere in modo sicuro gli archivi 7z protetti da password?