S / MIME fornisce mezzi per propagare la revoca di un certificato?

2

Un certificato di revoca per un vecchio certificato X.509 può essere allegato a un'e-mail oltre a un certificato sostitutivo in modo tale che l'utente del client non debba intervenire manualmente? O la rispettiva CA deve configurare un server CRL o OSCP?

    
posta Tobias Kienzler 08.02.2013 - 17:03
fonte

1 risposta

3

In X.509, la revoca di tutto passa attraverso gli oggetti firmati dagli emittenti dei certificati. La decisione di revocare o meno la revoca non è nelle mani del proprietario del certificato, ma della sua CA di emissione. La CA prende nota della decisione includendo o non includendo il numero di serie del certificato di destinazione nel CRL che produce (idem per le risposte OCSP, che sono solo CRL con un ambito ridotto a un singolo certificato).

S / MIME si basa su CMS (precedentemente noto come PKCS # 7) per il formato di firma e / o crittografia messaggi di posta elettronica. CMS può incorporare "oggetti helper" arbitrari, comprese le risposte CRL e OCSP, se chi assembla il messaggio pensa che queste risposte CRL o OCSP potrebbero essere utili ai destinatari per le convalide dei certificati che eseguiranno. Questo può essere usato nel caso in cui la CA non abbia un modo affidabile per spingere il CRL in un punto in cui il destinatario sarà in grado di afferrarli (uno scenario relativamente raro: le persone che ricevono e-mail hanno spesso un accesso a Internet). Tuttavia, queste risposte CRL o OCSP devono necessariamente provenire dalla CA (o da un'entità a cui è stata delegata la potenza, ad esempio un risponditore OCSP).

Nel modello X.509, si presume che tutti siano in grado di ottenere nuove risposte CRL o OCSP (e dovrebbero rifiutare i certificati se non possono). In S / MIME, il certificato del mittente è incluso in ogni e-mail che invia e i destinatari devono registrare automaticamente i certificati ricevuti; quando rispondono, i loro strumenti devono prendere il certificato più recente (dopo la convalida con il controllo di revoca, ovviamente).

    
risposta data 08.02.2013 - 17:20
fonte