(Contesto: sto elaborando un processo per pubblicare periodicamente un CRL, ad esempio una volta al giorno.)
Con i certificati X.509 standard, i "numeri seriali" devono essere numeri interi positivi, ma non devono essere emessi in modo rigorosamente seriale (1, 2, 3, ecc.) - funzionano più come GUID . Alcuni utenti anche consigliano contro i numeri rigorosamente seriali perché rivelano implicitamente informazioni sul business della CA / volume.
Tuttavia, i CRL sono diversi: devono essere pubblici, programmati e frequentemente aggiornati / ri-firmati / ricontrollati. Mi chiedo come sia meglio generare i numeri "Numeri CRL X509v3", ad es.
- Strettamente seriale. Memorizza e incrementa un contatore.
- Usa il tempo di generazione (più qualche nonce). Questo non richiede un contatore ma fornisce valori monotonici e unici.
- Valori casuali. Questi sono unici ma non monotoni.
In relazione a quanto spesso si dovrebbe cambiare il numero CRL? Si dovrebbe rilasciare un nuovo numero di serie per ogni aggiornamento pro forma (ad es. Nuova scadenza con lista di revoca invariata) o solo quando c'è una variazione sostanziale (ad es. ).