I certificati compromessi scaduti devono essere presi in considerazione se il tempo è sempre corretto?

2

Sto cercando di creare una CA per la mia azienda e di rilasciare a ogni dipendente un certificato digitale e una chiave privata. Sono preoccupato per la revoca e la scadenza.

Nel mio caso, il certificato radice di CA viene utilizzato per verificare le identità dei client, l'utente id est deve presentare un certificato valido e una chiave privata per accedere a pagine Web specifiche (Apache VerifyClient require o Nginx ssl_verify_client on ). Se un utente lascia la società o la sua chiave privata viene compromessa, il certificato viene aggiunto a CRL.

Come possiamo vedere, il CRL crescerà sempre più a lungo man mano che i dipendenti vanno e vengono. Questo non è quello che voglio. Tuttavia, poiché ogni certificato ha una data di scadenza (l'ho impostato su 180 giorni), posso rimuovere i certificati scaduti dal CRL? Ciò può in qualche modo ridurre il problema con il CRL sovradimensionato.

L'articolo di Wikipedia su "CRL" dice che la scadenza non dovrebbe essere usata come una sostituzione della revoca. Penso che stiano parlando dei web browser che verificano i server web, dal momento che il computer di alcuni utenti potrebbe avere un orario non corretto (fidandosi così dei certificati scaduti forniti dai server web). Tuttavia nel mio caso, è il server web che verifica gli utenti, quindi se posso garantire che l'ora sul server web sia corretta, posso rimuovere quei certificati compromessi scaduti da CRL?

    
posta Zhuoyun Wei 21.08.2014 - 13:47
fonte

2 risposte

6

Da RFC 5280 3.3 Revoca

An entry MUST NOT be removed from the CRL until it appears on one regularly scheduled CRL issued beyond the revoked certificate's validity period.

Se hai molti cambiamenti (persone che escono, ecc.) è meglio non rendere la validità del certificato troppo lunga altrimenti il CRL può diventare grande (alcuni CRL sono > 30 MB che potrebbero non essere gestiti da alcune applicazioni).

Il tuo server dovrebbe sempre avere l'ora corretta. È il tuo server che dovrebbe verificare la validità del certificato e non il client web.

    
risposta data 21.08.2014 - 15:13
fonte
3

La data di scadenza è "cotta" nel certificato stesso, quindi, anche se l'ora sul client non è corretta, ciò non indurrà il server ad accettare erroneamente il certificato. L'orologio del server, al contrario, deve essere corretto.

Ora, indipendentemente dal fatto che sia sicuro rimuovere i certificati scaduti dal CRL dipende da come il server verifica i certificati e, in particolare, se disabilita i certificati scaduti. Se non li consente, puoi rimuovere in modo sicuro i certificati scaduti dal CRL.

    
risposta data 21.08.2014 - 15:08
fonte