Quale CRL deve contenere un CA crlDistributionPoint intermedio?

2

Data un'autorità di certificazione di base (CA) e una CA intermedia firmata dalla radice:

  1. Quale CRL deve contenere crlDistributionPoints per la CA intermedia? CRL della CA principale o CRL della CA intermediaria?

    È logico che ogni certificato faccia riferimento al CRL della CA che lo ha firmato.

  2. Quale CRL dovrebbe contenere la CA radice, se esiste?

    Sembrerebbe che dal momento che è autofirmato, dovrebbe puntare al proprio CRL.

  3. I certificati utente o server firmati dalla CA intermediaria puntano al CRL della CA intermedia o entrambi i CRL dell'intermedio e della radice?

Per favore, cita la RFC se puoi. Non riesco a trovare una risposta chiara lì da solo.

Chiesto in un altro modo, dove un cliente dovrebbe cercare un CRL per vedere se un dato certificato è stato revocato? Nel certificato stesso o nel certificato della CA di firma?

    
posta Brad Waite 14.11.2015 - 19:53
fonte

1 risposta

2

Which CRL should the crlDistributionPoints contain to for the intermediate CA? The root CA's CRL or the intermediate CA's CRL?

Il comando crlDistributionPoints deve puntare al CRL che conterrà la revoca del certificato stesso. Pertanto, nel caso di una CA intermedia, questo sarà probabilmente il CRL firmato dalla CA emittente, sebbene possa essere qualsiasi altra CA purché sia possibile costruire un percorso fiduciario.

Which CRL should the root CA contain, if any?

La CA radice non può essere revocata. Fiducia per la CA radice non viene stabilita tramite certificati ma perché è integrata come pre-attendibile nel browser o nel sistema operativo. Ciò significa che se la CA radice viene corrotta, deve essere rimossa dal browser / sistema operativo senza alcun tipo di meccanismo CRL.

Should user or server certificates signed by the intermediate CA point to the intermediate CA's ...

Ancora una volta, dovrebbero indicare il CRL che conterrà infine il record di revoca. Quale CRL dipende dal modo in cui la revoca è implementata nella CA.

where would a client look for a CRL to see if a given certificate has been revoked?....

Il client esamina il possibile certificato revocato ed estrae crlDistributionPoints all'interno del certificato. Quindi scarica il CRL da questo punto e controlla se contiene il numero di serie del certificato.

    
risposta data 14.11.2015 - 20:27
fonte

Leggi altre domande sui tag