отзыв subCA без перевыпуска сертификатов

To: debian-russian@lists.debian.org
Subject: отзыв subCA без перевыпуска сертификатов
From: Maksym Tiurin <mrkooll@bungarus.info>
Date: Mon, 12 Jan 2015 00:21:16 +0200
Message-id: <[🔎] m3egr1t0v7.fsf@comp.bungarus.info>

Приветствую!

Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в
x509 и OpenSSL.

Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать
все сертификаты подписанные этим subCA?

Расклад такой:
1. Есть свой CA который находится в доверенном окружении.
2. Есть subCA, подписанный CA, который выпускает сертификаты для
клиентов. К сожалению, он может быть скомпрометирован. Про его
компрометацию и ее дату мы будем знать.

Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты?
Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались
валидными.

openssl verify и certtool --verify считают что если subCA отозван по
любой причине то все выпущенные им сертификаты уже не валидны. Не взирая
на даты выпуска сертификата и отзыва subCA.
Если при отзыве subCA дата в -crl_compromise никак не учитывается и
сертификаты нужно перевыпускать обязательно то есть ли возможность
как-то объяснить серверу что клиентов с сертификатами выпущенными
определенным subCA после даты N пускать нельзя?
--

With Best Regards, Maksym Tiurin
JID: MrKooll@jabber.pibhe.com

Reply to:

Follow-Ups:
- Re: отзыв subCA без перевыпуска сертификатов
  - From: Eugene Berdnikov <bd4@protva.ru>
- Re: отзыв subCA без перевыпуска сертификатов
  - From: Никита Егоров <khenarghot@gmail.com>
- Re: отзыв subCA без перевыпуска сертификатов
  - From: Maksym Tiurin <mrkooll@bungarus.info>

Prev by Date: Re: Русская клавиатура работает - но почему?
Next by Date: Re: Русская клавиатура работает - но почему?
Previous by thread: Re: Русская клавиатура работает - но почему?
Next by thread: Re: отзыв subCA без перевыпуска сертификатов
Index(es):
- Date
- Thread