Re: отзыв subCA без перевыпуска сертификатов

To: debian-russian@lists.debian.org
Subject: Re: отзыв subCA без перевыпуска сертификатов
From: Eugene Berdnikov <bd4@protva.ru>
Date: Mon, 12 Jan 2015 09:53:58 +0300
Message-id: <[🔎] 20150112065358.GA18180@sie.protva.ru>
In-reply-to: <[🔎] m3egr1t0v7.fsf@comp.bungarus.info>
References: <[🔎] m3egr1t0v7.fsf@comp.bungarus.info>

On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote:
> Расклад такой:
> 1. Есть свой CA который находится в доверенном окружении.
> 2. Есть subCA, подписанный CA, который выпускает сертификаты для
> клиентов. К сожалению, он может быть скомпрометирован. Про его
> компрометацию и ее дату мы будем знать.

 Что даст знание даты, если ключ скомпроментирован?

> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты?
> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались
> валидными.

 Зачем? Зная ключ, можно подписать ЛЮБЫЕ даты, поставленные от фонаря.

> openssl verify и certtool --verify считают что если subCA отозван по
> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая
> на даты выпуска сертификата и отзыва subCA.
> Если при отзыве subCA дата в -crl_compromise никак не учитывается и

 Что такое "-crl_compromise", где Вы его нашли?
-- 
 Eugene Berdnikov

Reply to:

Follow-Ups:
- Re: отзыв subCA без перевыпуска сертификатов
  - From: Maksym Tiurin <mrkooll@bungarus.info>

References:
- отзыв subCA без перевыпуска сертификатов
  - From: Maksym Tiurin <mrkooll@bungarus.info>

Prev by Date: Re: Live USB
Next by Date: Re: отзыв subCA без перевыпуска сертификатов
Previous by thread: отзыв subCA без перевыпуска сертификатов
Next by thread: Re: отзыв subCA без перевыпуска сертификатов
Index(es):
- Date
- Thread