Re: отзыв subCA без перевыпуска сертификатов
Никита Егоров writes:
> Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что
> помешает мне подптсать нужные мне подделки задним числом?
Никто не помешает :(
Так что при компрометации subCA придется выгружать набор валидных
сертификатов и проверять наличие сертификата при подключении клиента.
> 12 янв. 2015 г. 1:30 пользователь "Maksym Tiurin" <mrkooll@bungarus.info>
> написал:
>>
>> Приветствую!
>>
>> Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в
>> x509 и OpenSSL.
>>
>> Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать
>> все сертификаты подписанные этим subCA?
>>
>> Расклад такой:
>> 1. Есть свой CA который находится в доверенном окружении.
>> 2. Есть subCA, подписанный CA, который выпускает сертификаты для
>> клиентов. К сожалению, он может быть скомпрометирован. Про его
>> компрометацию и ее дату мы будем знать.
>>
>> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты?
>> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались
>> валидными.
>>
>> openssl verify и certtool --verify считают что если subCA отозван по
>> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая
>> на даты выпуска сертификата и отзыва subCA.
>> Если при отзыве subCA дата в -crl_compromise никак не учитывается и
>> сертификаты нужно перевыпускать обязательно то есть ли возможность
>> как-то объяснить серверу что клиентов с сертификатами выпущенными
>> определенным subCA после даты N пускать нельзя?
>> --
>>
>> With Best Regards, Maksym Tiurin
>> JID: MrKooll@jabber.pibhe.com
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>> Archive: [🔎] m3egr1t0v7.fsf@comp.bungarus.info">https://lists.debian.org/[🔎] m3egr1t0v7.fsf@comp.bungarus.info
>>
--
With Best Regards, Maksym Tiurin
JID: MrKooll@jabber.pibhe.com
Reply to: