1 |
Здравствуйте! |
2 |
|
3 |
Это письмо в продолжение темы "openssl: certificate authority". |
4 |
|
5 |
Описание ситуации: есть компания "Рога и Копыта". Сотрудники Бендер и |
6 |
Паниковский работают за компьютерами с Gentoo Linux и обмениваются |
7 |
сообщениями e-mail. В силу специфики их работы они имеют потребность |
8 |
шифровать свою переписку с помощью SSL сертификатов. В компании |
9 |
имеется Certificate Authority (CA) и у каждого из сотрудников на |
10 |
компьютере установлен корневой сертификат. Здесь неявно |
11 |
предполагается, что CA включает корневой сертификат, все выданные |
12 |
пользовательские сертификаты, а также список отозванных сертификатов |
13 |
(CRL) |
14 |
|
15 |
В один день Паниковский теряет свой ноутбук вместе с сертификатом. Он |
16 |
сообщает об этом администратору, администратор с помощью |
17 |
# openssl -revoke panikovsky.pem |
18 |
делает сертификат невалидным, выдает новый ноутбук и новый сертификат. |
19 |
|
20 |
Вопросы: |
21 |
1) Как _правильно_ нужно настроить CA, чтобы Бендер мог об этом узнать |
22 |
о том, что сертификат скомпрометирован как можно скорее? |
23 |
2) Как протестировать, что CRL действительно блокирует сертификаты в |
24 |
a) браузере (например firefox) |
25 |
б) почтовом клиенте ( например Thunderbird или Microsoft Outlook) |
26 |
|
27 |
Ранее в рассылке было упомянуто решение: CRL Distribution Point, |
28 |
однако поиск в сети не дал желаемых результатов. Надеюсь мы сможем |
29 |
найти истину вместе :) |
30 |
|
31 |
С уважением, |
32 |
Антон Ананич |