Eugene Berdnikov writes: > On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote: >> Расклад такой: >> 1. Есть свой CA который находится в доверенном окружении. >> 2. Есть subCA, подписанный CA, который выпускает сертификаты для >> клиентов. К сожалению, он может быть скомпрометирован. Про его >> компрометацию и ее дату мы будем знать. > > Что даст знание даты, если ключ скомпроментирован? > >> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? >> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались >> валидными. > > Зачем? Зная ключ, можно подписать ЛЮБЫЕ даты, поставленные от фонаря.
Вот это как-то вылетело из головы :( Спасибо. > >> openssl verify и certtool --verify считают что если subCA отозван по >> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая >> на даты выпуска сертификата и отзыва subCA. >> Если при отзыве subCA дата в -crl_compromise никак не учитывается и > > Что такое "-crl_compromise", где Вы его нашли? В openssl. Получается оно имеет смысл только там где дату непросто подделать. Например в подписывании электронной почты. -- With Best Regards, Maksym Tiurin JID: [email protected] -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
