Никита Егоров writes: > Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что > помешает мне подптсать нужные мне подделки задним числом?
Никто не помешает :( Так что при компрометации subCA придется выгружать набор валидных сертификатов и проверять наличие сертификата при подключении клиента. > 12 янв. 2015 г. 1:30 пользователь "Maksym Tiurin" <[email protected]> > написал: >> >> Приветствую! >> >> Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в >> x509 и OpenSSL. >> >> Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать >> все сертификаты подписанные этим subCA? >> >> Расклад такой: >> 1. Есть свой CA который находится в доверенном окружении. >> 2. Есть subCA, подписанный CA, который выпускает сертификаты для >> клиентов. К сожалению, он может быть скомпрометирован. Про его >> компрометацию и ее дату мы будем знать. >> >> Возможно ли отозвать subCA и не перевыпускать клиентские сертификаты? >> Тоесть чтоб сертификаты которые были выпущены до отзыва subCA оставались >> валидными. >> >> openssl verify и certtool --verify считают что если subCA отозван по >> любой причине то все выпущенные им сертификаты уже не валидны. Не взирая >> на даты выпуска сертификата и отзыва subCA. >> Если при отзыве subCA дата в -crl_compromise никак не учитывается и >> сертификаты нужно перевыпускать обязательно то есть ли возможность >> как-то объяснить серверу что клиентов с сертификатами выпущенными >> определенным subCA после даты N пускать нельзя? >> -- >> >> With Best Regards, Maksym Tiurin >> JID: [email protected] >> >> >> -- >> To UNSUBSCRIBE, email to [email protected] >> with a subject of "unsubscribe". Trouble? Contact > [email protected] >> Archive: https://lists.debian.org/[email protected] >> -- With Best Regards, Maksym Tiurin JID: [email protected] -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: https://lists.debian.org/[email protected]
