Una CA deve pubblicare regolarmente CRL regolarmente e, se la CA è offline, è necessario un intervento umano. Ogni CRL ha una data di rilascio ( thisUpdate
) e una data provvisoria della pubblicazione successiva ( nextUpdate
) che tutti utilizzano come data di fine validità per il CRL. Il prossimo CRL deve essere pubblicato prima di raggiungere la nextUpdate
data del CRL corrente; altrimenti, i verificatori inizieranno a rifiutare i certificati.
È pratica comune avere una CA root offline che emetta un CRL relativamente longevo (ad esempio un CRL ogni tre mesi, con una nextUpdate
impostata sul tempo corrente + 4 mesi). Quella CA radice viene utilizzata per emettere solo un singolo certificato, per una CA intermedia , che è in linea, e fa la maggior parte dell'emissione di certificati (e quella CA intermedia pubblica CRL molto più regolarmente). La CA root offline viene mantenuta come "ultima risorsa": se la CA intermedia viene compromessa, la root può revocarla, quindi c'è un "periodo non valido" a soffrire (fino alla fine della validità del CRL radice corrente, a la maggior parte), ma la distribuzione della chiave radice non deve essere ripetuta quando la nuova CA (intermedia) viene creata e avviata.
Un metodo niftier è avere una CA radice semi-offline: la CA radice è collegata con il mondo esterno attraverso un canale fisicamente unidirezionale (l'ho fatto con un cavo audio: il Il jack "line out" sul server è intrinsecamente a senso unico, quindi nessun rischio di intrusione in arrivo su quel cavo). Ciò consente alla root di pubblicare spesso CRL (ad esempio uno alla settimana, anche uno al giorno) senza richiedere l'intervento umano. L'effettiva revoca richiederebbe comunque l'intervento fisico, quindi una CA intermedia come descritto sopra sarebbe comunque altamente raccomandata.
Si noti che una CA offline o semi-offline non può sincronizzarsi con fonti di tempo della rete , quindi l'orologio della CA radice potrebbe deriva. Poiché il CRL ha un periodo di validità, questo richiede una certa supervisione (puoi tollerare una deriva di pochi minuti, quindi non è un problema, ma è meglio tenerlo d'occhio comunque).