Come generare "numeri CRL" per X.509 CRL

2

(Contesto: sto elaborando un processo per pubblicare periodicamente un CRL, ad esempio una volta al giorno.)

Con i certificati X.509 standard, i "numeri seriali" devono essere numeri interi positivi, ma non devono essere emessi in modo rigorosamente seriale (1, 2, 3, ecc.) - funzionano più come GUID . Alcuni utenti anche consigliano contro i numeri rigorosamente seriali perché rivelano implicitamente informazioni sul business della CA / volume.

Tuttavia, i CRL sono diversi: devono essere pubblici, programmati e frequentemente aggiornati / ri-firmati / ricontrollati. Mi chiedo come sia meglio generare i numeri "Numeri CRL X509v3", ad es.

  • Strettamente seriale. Memorizza e incrementa un contatore.
  • Usa il tempo di generazione (più qualche nonce). Questo non richiede un contatore ma fornisce valori monotonici e unici.
  • Valori casuali. Questi sono unici ma non monotoni.

In relazione a quanto spesso si dovrebbe cambiare il numero CRL? Si dovrebbe rilasciare un nuovo numero di serie per ogni aggiornamento pro forma (ad es. Nuova scadenza con lista di revoca invariata) o solo quando c'è una variazione sostanziale (ad es. ).

    
posta Tim Otten 03.07.2015 - 02:16
fonte

0 risposte

Leggi altre domande sui tag