Controlla firma quando il prossimo CRL verrà pubblicato dopo la fine della validità del certificato

0

La mia situazione è la seguente:

Devo verificare la firma sul documento. Per questo aspetterò quando il prossimo CRL sarà pubblicato per verificare che il certificato coinvolto non sia stato revocato. Ma cosa succede se il certificato termina (non dopo la validità del certificato) prima del prossimo aggiornamento di CRL?

Schematicamente:

  1. Pubblicazione CRL
  2. Creazione di firme
  3. Scadenza del certificato (nonDopo il momento del certificato)
  4. Pubblicazione CRL

Supponiamo che il certificato sia stato revocato tra (1) e (4). Penso che non sarà in CRL (4) perché non è più valido. Ma in questo tipo di scenario non posso convalidare la firma, o posso?

    
posta Mumbar 09.01.2015 - 16:29
fonte

2 risposte

1

Non sei il primo a pensarci. Vedi l'ultima frase in PKIX rfc5280 3.3

X.509 defines one method of certificate revocation. This method involves each CA periodically issuing a signed data structure called a certificate revocation list (CRL). A CRL is a time-stamped list ... A new CRL is issued on a regular periodic basis (e.g., hourly, daily, or weekly). An entry is added to the CRL as part of the next update following notification of revocation. An entry MUST NOT be removed from the CRL until it appears on one regularly scheduled CRL issued beyond the revoked certificate's validity period.

PS: il nome è "revoca" ma il verbo è "revoca" e il passato "revocato".

    
risposta data 14.02.2015 - 00:33
fonte
0

Dovresti vedere il problema in modo diverso. Se il certificato è stato revocato tra (1) e (4), sarai comunque in grado di verificare la firma in ogni caso . Il vero problema è: il certificato del firmatario è valido al momento della firma? Dalla data di scadenza, il certificato non è più valido perché non più "certificato" dalla sua CA a causa della durata del certificato (questo non implica che la chiave privata sia compromessa).

Spero che questo aiuto.

    
risposta data 12.01.2015 - 23:07
fonte

Leggi altre domande sui tag