Un modello di convalida basato su CA ha esito negativo poiché non è in grado di eseguire la revoca di se stesso; non c'è flessibilità di fiducia quando una CA radice viene compromessa, poiché è necessario sostituire l'ancoraggio di fiducia. Se si tratta semplicemente di una CA di emissione anziché di una radice, l'evento di revoca può avere esito positivo. Tuttavia, esaminiamo gli approcci di base alla convalida:
- Elenchi di revoca certificati - una lista nera di certificati revocati
distribuito come un file. I CRL di grandi dimensioni sono difficili da consumare e causare
problemi di prestazione.
-
OCSP senza Nce: una risposta ripetibile può essere prodotta in serie e
cache. Piccolo, veloce ed efficiente.
-
OCSP con Nonce - una richiesta e una risposta OCSP che include a
nonce crittografico; OCSP non forzato è sempre attivo. Piccolo, veloce, ma
introducendo un po 'più di un successo nelle prestazioni rispetto a un OCSP vaniglia
richiesta / risposta.
OCSP in precedenza era più orientato ad essere una versione live di CRL, una lista nera. Tuttavia, le più recenti RFC per OCSP consentono anche l'uso di OCSP come whitelist. Gli approcci di blacklist e whitelist combinati per la convalida sono molto più sicuri.
Quando pensi alla convalida, tieni presente che puoi e dovresti prendere in considerazione altre alternative ai modelli di fiducia basati su CA, in particolare per reti o reti più grandi in cui è necessaria la possibilità di compromissione della CA o flessibilità.
Se viene data la possibilità di scegliere tra CRL di produzione, OCSP o entrambi, ho sempre in programma di utilizzare entrambi i modelli, con preferenza data all'OCSP con fail-closed, integrato da CRL. In generale, preferisco gli schemi di convalida basati su VA, poiché hanno la possibilità di revocare le CA compromesse.
Ora che ho scritto tutto questo, risponderò alle tue domande
La convalida basata su CRL dovrebbe quasi sempre essere meno preferita della convalida basata su OCSP
I CRL possono essere eliminati da un prodotto IT, ad es. su Windows
certutil -setreg chain\ChainCacheResyncFiletime @now