| 1 |
Здравствуйте! |
| 2 |
|
| 3 |
Это письмо в продолжение темы "openssl: certificate authority". |
| 4 |
|
| 5 |
Описание ситуации: есть компания "Рога и Копыта". Сотрудники Бендер и |
| 6 |
Паниковский работают за компьютерами с Gentoo Linux и обмениваются |
| 7 |
сообщениями e-mail. В силу специфики их работы они имеют потребность |
| 8 |
шифровать свою переписку с помощью SSL сертификатов. В компании |
| 9 |
имеется Certificate Authority (CA) и у каждого из сотрудников на |
| 10 |
компьютере установлен корневой сертификат. Здесь неявно |
| 11 |
предполагается, что CA включает корневой сертификат, все выданные |
| 12 |
пользовательские сертификаты, а также список отозванных сертификатов |
| 13 |
(CRL) |
| 14 |
|
| 15 |
В один день Паниковский теряет свой ноутбук вместе с сертификатом. Он |
| 16 |
сообщает об этом администратору, администратор с помощью |
| 17 |
# openssl -revoke panikovsky.pem |
| 18 |
делает сертификат невалидным, выдает новый ноутбук и новый сертификат. |
| 19 |
|
| 20 |
Вопросы: |
| 21 |
1) Как _правильно_ нужно настроить CA, чтобы Бендер мог об этом узнать |
| 22 |
о том, что сертификат скомпрометирован как можно скорее? |
| 23 |
2) Как протестировать, что CRL действительно блокирует сертификаты в |
| 24 |
a) браузере (например firefox) |
| 25 |
б) почтовом клиенте ( например Thunderbird или Microsoft Outlook) |
| 26 |
|
| 27 |
Ранее в рассылке было упомянуто решение: CRL Distribution Point, |
| 28 |
однако поиск в сети не дал желаемых результатов. Надеюсь мы сможем |
| 29 |
найти истину вместе :) |
| 30 |
|
| 31 |
С уважением, |
| 32 |
Антон Ананич |
Archives