Le risposte OCSP hanno un campo "nextUpdate", che è il tempo previsto per il nuovo aggiornamento di revoca e che la revoca corrente può essere considerata valida. Le revocazioni possono essere memorizzate nella cache dai server cert intermedi, che ho visto usati nei progetti che forniscono risposte graffate. Ho letto che le revoche vengono consegnate immediatamente dalla CA principale alla CA intermedia.
In questo caso, cosa succederebbe se ci fosse un attacco DoS al server CA radice, quindi è stato impedito di consegnare la revoca? Ciò potrebbe esporre una finestra di opportunità, utilizzando la voce di revoca memorizzata nella cache del server intermedio, che suggerirebbe erroneamente al client di un utente finale che un certificato di sito Web è valido, quando può essere non valido. Il client o il browser dell'utente potrebbero interagire con un sito dannoso fino a quando il DoS non viene arrestato, viene effettuata una chiamata a tutti i server intermedi, ecc. Fino a 7 giorni.
Ci sono stati almeno tre attacchi DoS sui server dei nomi radice della durata di almeno un'ora, tuttavia non sono sicuro di come influenzerebbero la capacità di un server CA di inviare traffico in uscita. Forse hanno canali secondari per ottenere l'elenco di revoche.
Qualcuno ha ulteriori informazioni sugli aspetti tecnici di questo e sulla possibilità che questo tipo di attacco si verifichi? Inoltre, sono curioso che qualcuno conosca l'infrastruttura di memorizzazione nella cache per i CRL e la tempistica per aspettarsi che venga visualizzata una revoca in una tipica CA intermedia?
Chrome utilizza il proprio metodo proprietario per la scansione di CRL e Google li spinge al browser in blocchi, chiamati crlset. A prima vista, OCSP ha un vantaggio temporale migliore rispetto a crlset, perché contatta direttamente i risponditori autorizzati per ottenere lo stato delle revoche, tuttavia dopo aver scoperto che alcuni provider hanno implementato periodi di aggiornamento della cache CRL definiti in modo variabile, non sono sicuro che sia effettivamente migliore. Google sostiene che il loro elenco di revoche viene aggiornato quotidianamente e questo è più frequente di altre soluzioni.
Qualcuno conosce i compromessi in fatto di sicurezza tra OCSP e il metodo crlset di Google? In particolare, quali sono i tempi e l'affidabilità migliori per ottenere la risposta alla revoca? La rivendicazione di Google è supportata da prove?