Re: отзыв subCA без перевыпуска сертификатов

2015-01-12 Пенетрантность Maksym Tiurin
Maksym Tiurin writes: Приветствую! Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в x509 и OpenSSL. Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать все сертификаты подписанные этим subCA? Расклад такой: 1. Есть свой CA который находится в

Re: отзыв subCA без перевыпуска сертификатов

2015-01-12 Пенетрантность Maksym Tiurin
Eugene Berdnikov writes: On Mon, Jan 12, 2015 at 06:47:56PM +0200, Maksym Tiurin wrote: Eugene Berdnikov writes: Что такое -crl_compromise, где Вы его нашли? В openssl. Где именно, в каком модуле? Мне просто интересно, но при этом не хватает фантазии придумать где оно может

Re: отзыв subCA без перевыпуска сертификатов

2015-01-12 Пенетрантность Eugene Berdnikov
On Mon, Jan 12, 2015 at 06:47:56PM +0200, Maksym Tiurin wrote: Eugene Berdnikov writes: Что такое -crl_compromise, где Вы его нашли? В openssl. Где именно, в каком модуле? Мне просто интересно, но при этом не хватает фантазии придумать где оно может понадобиться... -- Eugene Berdnikov

Re: отзыв subCA без перевыпуска сертификатов

2015-01-12 Пенетрантность Maksym Tiurin
Eugene Berdnikov writes: On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote: Расклад такой: 1. Есть свой CA который находится в доверенном окружении. 2. Есть subCA, подписанный CA, который выпускает сертификаты для клиентов. К сожалению, он может быть скомпрометирован. Про его

Re: отзыв subCA без перевыпуска сертификатов

2015-01-12 Пенетрантность Maksym Tiurin
Никита Егоров writes: Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что помешает мне подптсать нужные мне подделки задним числом? Никто не помешает :( Так что при компрометации subCA придется выгружать набор валидных сертификатов и проверять наличие сертификата при

отзыв subCA без перевыпуска сертификатов

2015-01-11 Пенетрантность Maksym Tiurin
Приветствую! Вопрос не специфичен для Debian, но тут встречаются люди разбирающиеся в x509 и OpenSSL. Вопрос такой: возможно ли отозвать сертификат subCA и не перевыпускать все сертификаты подписанные этим subCA? Расклад такой: 1. Есть свой CA который находится в доверенном окружении. 2. Есть

Re: отзыв subCA без перевыпуска сертификатов

2015-01-11 Пенетрантность Eugene Berdnikov
On Mon, Jan 12, 2015 at 12:21:16AM +0200, Maksym Tiurin wrote: Расклад такой: 1. Есть свой CA который находится в доверенном окружении. 2. Есть subCA, подписанный CA, который выпускает сертификаты для клиентов. К сожалению, он может быть скомпрометирован. Про его компрометацию и ее дату мы

Re: отзыв subCA без перевыпуска сертификатов

2015-01-11 Пенетрантность Никита Егоров
Я задам вам встречный вопоос. Допустим я заполучил ваш суб сертификат. Что помешает мне подптсать нужные мне подделки задним числом? 12 янв. 2015 г. 1:30 пользователь Maksym Tiurin mrko...@bungarus.info написал: Приветствую! Вопрос не специфичен для Debian, но тут встречаются люди