Ho due domande sulla sicurezza della richiesta di CRL.
-
La mia prima domanda è: i CRL non dovrebbero contenere un campo
producedAt
proprio come le risposte OCSP? Ciò assicurerebbe che un hacker non invii un CRL vecchio (ma non ancora scaduto) al client, giusto? Perché non è fatto? Perché i CRL sono più grandi e firmarli ogni volta costerebbe troppo tempo? Oppure perché i CRL sono visti come file statici (il che non sarebbe una buona ragione)? -
Quindi la mia seconda domanda. Ho visto il mio browser ha richiesto un CRL con un'intestazione
If-Modified-Since
HTTP. Il server ha risposto con un codice304 - Not Modified
. Questo non sarebbe anche un modo semplice per gli hacker di trattenere gli aggiornamenti di un CRL (purché il vecchio sia ancora valido)?