Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что помешает мне подптсать нужные мне подделки задним числом?
12 янв. 2015 г. 1:30 пользователь "Maksym Tiurin" <mrkooll@bungarus.info> написал:
>
> Приветствую!
>
> Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в
> x509 и OpenSSL.
>
> Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать
> все сертификаты подписанные этим subCA?
>
> Расклад такой:
> 1. Есть свой CA который находится в доверенном окружении.
> 2. Есть subCA, подписанный CA, который выпускает сертификаты для
> клиентов. К сожалению, он может быть скомпрометирован. Про его
> компрометацию и ее дату мы будем знать.
>
> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты?
> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались
> валидными.
>
> openssl verify и certtool --verify считают что если subCA отозван по
> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая
> на даты выпуска сертификата и отзыва subCA.
> Если при отзыве subCA дата в -crl_compromise никак не учитывается и
> сертификаты нужно перевыпускать обязательно то есть ли возможность
> как-то объяснить серверу что клиентов с сертификатами выпущенными
> определенным subCA после даты N пускать нельзя?
> --
>
> With Best Regards, Maksym Tiurin
> JID: MrKooll@jabber.pibhe.com
>
>
> --
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] m3egr1t0v7.fsf@comp.bungarus.info">https://lists.debian.org/[🔎] m3egr1t0v7.fsf@comp.bungarus.info
>