Sto creando certificati personalizzati con definizioni CDP con l'opzione di configurare diversi metodi di accesso al CRL. Le mie opzioni sono HTTP, LDAP e FTP. Quali sono le migliori pratiche o dovrei dire perché scegliere l'una contro l'altra?
Sto creando certificati personalizzati con definizioni CDP con l'opzione di configurare diversi metodi di accesso al CRL. Le mie opzioni sono HTTP, LDAP e FTP. Quali sono le migliori pratiche o dovrei dire perché scegliere l'una contro l'altra?
Un punto di distribuzione CRL ha i seguenti due requisiti:
Tutti e tre i protocolli possono essere implementati ad alta disponibilità, ma il secondo requisito rende HTTP la scelta preferita.
La barriera tecnologica di HTTP rispetto a FTP o LDAP è molto più bassa. È possibile accedere a HTTP direttamente e tramite un server proxy. E il protocollo è abbastanza semplice.
Questo non si applica a FTP o LDAP.
L'FTP può essere utilizzato solo in modalità passiva tramite un server proxy e il protocollo è un po 'più complicato e meno standardizzato. Diversi server generano elenchi di directory diversi, che a volte sono incompatibili tra loro.
LDAP è ben standardizzato ma l'implementazione richiede la decodifica ASN.1, che è più complicata di HTTP. E non ci sono proxy disponibili per LDAP in un gateway di sicurezza perimetrale di un'azienda tipica.
Il problema con l'inclusione di più fonti è che, se una di queste fonti non è disponibile per qualche motivo, ci sono probabilmente alcuni clienti che si arrendono dopo aver provato questo senza provare gli altri. Il che rende la tua lista di revoche in realtà meno disponibile come sarebbe con una sola fonte (altamente disponibile) inclusa nel certificato.
Leggi altre domande sui tag cryptography